В марте правительство США опубликовало новый Стратегия кибербезопасности автор: Управление национального кибер-директора.
Стратегия, разделенная на пять столпов и 27 стратегических целей, излагает смелое видение защиты критически важной инфраструктуры, ликвидации субъектов угроз, формирования рыночных сил для обеспечения безопасности, инвестиций в устойчивое будущее и налаживания международного партнерства. В случае полной реализации эта стратегия поставит перед предприятиями в сфере контрактов задачу усиления контроля и более высоких стандартов безопасности, а также возможность конкурировать за заказы и гранты, направленные на поддержку критически важной цифровой инфраструктуры страны.
Стратегия включает в себя несколько областей, представляющих интерес для сообщества государственных заказчиков, с потенциалом увеличения финансирования различных проектов, а также возможностью дополнительного регулирования и правоприменения.
Например, в одном разделе обсуждается использование программ федеральных грантов для стимулирования создания критически важной цифровой инфраструктуры. Другой подробно описывает способы, с помощью которых правительство могло бы «использовать федеральные закупки для улучшения подотчетности», но также призывает усилить соблюдение требований безопасности для поставщиков, которые продают продукцию федеральному правительству. Наконец, в одном положении излагаются планы по «активизации федеральных исследований и разработок в области кибербезопасности» через различные научно-исследовательские центры, финансируемые из федерального бюджета.
Уязвимости «нулевого дня»
Самый спорный раздел требует привлечение к ответственности компаний-разработчиков программного обеспечения для создания небезопасного кода. Хотя использование уязвимостей «нулевого дня» в последние годы достигло рекордно высокого уровня, что привело к огромным последствиям для промышленности и правительства, идея привлечения компаний к ответственности за создание небезопасного кода является серьезным отходом от предыдущих норм. Некоторые задаются вопросом, является ли стратегия содержит достаточно деталей для адекватной реализации, в то время как другие отметили, что эта цель могла бы изменить то, как все правительство закупает программное обеспечение.
Стремясь подчеркнуть этот сдвиг в мышлении, Агентство кибербезопасности и безопасности инфраструктуры совместно с несколькими международными партнерами опубликовало Принципы безопасности при проектировании и по умолчанию в апреле. Это руководство было призвано вызвать культурные изменения в том, как технологическое сообщество относится к уязвимому программному обеспечению, и переложить бремя обеспечения безопасности на производителей технологий.
В рамках внедрения этого нового образа мышления директор CISA Джен Истерли отметила в выступление в Университете Карнеги-Меллон что концепция Secure-by-Design и -Default была призвана переложить бремя с потребителей и малого бизнеса на крупные технологические компании. Это означает, что в случае полной реализации крупные технологические компании, такие как Microsoft и Google, будут нести большую степень ответственности, чем средний государственный подрядчик, особенно компании, классифицируемые как малые предприятия.
Перекладывание бремени ответственности является спорным, поскольку до сих пор крупные компании-разработчики программного обеспечения предполагали, что, если они продолжат выявлять и устранять уязвимости, они будут защищены от большинства негативных последствий. Фактически, Microsoft институционализировала идею регулярного выпуска обновлений и исправлений своего программного обеспечения до такой степени, что «Patch Tuesday» стал основным продуктом индустрии с 2003 года.
Однако, поскольку злоумышленники продолжают использовать больше уязвимостей нулевого дня, чем когда-либо прежде, потребность в безопасном программном обеспечении никогда не была такой высокой. В 2021 году было использовано наибольшее количество нулевых дней в истории., при этом ведущие роли играют спонсируемые государством актеры. Пока в 2023 году Преступные группы, занимающиеся программами-вымогателями, использовали критические уязвимости что приводит к сотни миллионов долларов в виде выкупа.
В июле 2023 года ONCD опубликовало План реализации Национальной стратегии кибербезопасности предоставление сроков, ответственных учреждений и конкретных указаний по многим целям, изложенным в стратегии. План, например, возлагал на Управление управления и бюджета ответственность за реализацию изменений в Положении о федеральных закупках, требуемых согласно Распоряжение 14028 к первому кварталу 24 финансового года и призвал Управление научно-технической политики работать с различными агентствами, предоставляющими гранты, чтобы определить приоритет инвестиций в «языки программирования, безопасные для памяти».
«Безопасно по дизайну»
Ни одно из этих положений не получило нового финансирования для реализации. Поразительно, что положение «Продуманная безопасность» имело один из самых слабых планов реализации во всем документе, призывая ONCD провести ко второму кварталу 24 финансового года юридический симпозиум для «изучения различных подходов к системе ответственности за программное обеспечение».
В конечном итоге то, как будут распределены федеральные деньги в течение следующих нескольких финансовых лет, определит истинное воздействие новой стратегии и плана реализации. Хотя кажется, что такие офисы, как ONCD и CISA, настаивают на кардинальных изменениях в сфере кибербезопасности, отсутствие у них регуляторных и бюджетных полномочий может помешать реализации этих планов.
В случае полной реализации стратегия окажет положительное влияние на объем государственных контрактов за счет увеличения федеральных инвестиций в разработку безопасных технологий и снижения уязвимостей в основном программном обеспечении, которое используют все государственные подрядчики. Еще слишком рано говорить о том, сможет ли это смелое видение будущего действительно стать реальностью.
Ной Риверс — научный сотрудник Центра государственных контрактов Грега и Камиллы Барони при Школе бизнеса Университета Джорджа Мейсона.
Есть мнение?
Эта статья является обзором, и высказанные мнения принадлежат автору. Если вы хотите ответить или у вас есть собственная редакционная статья, которую вы хотели бы представить, пожалуйста, электронная почта C4ISRNET и старший управляющий редактор Federal Times Кэри О'Рейли.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.defensenews.com/opinion/2023/09/11/what-new-federal-cybersecurity-policy-means-for-government-contractors/
- :имеет
- :является
- $UP
- 2023
- 27
- 70
- a
- отчетность
- приобретение
- через
- актеры
- дополнительный
- адекватно
- агентствах
- агентство
- Нацеленный
- Все
- выделено
- вдоль
- причислены
- an
- и
- Другой
- подходы
- апрель
- МЫ
- области
- гайд
- AS
- Юрист
- предполагается,
- At
- автор
- автор
- власть
- в среднем
- прочь
- BE
- медведь
- , так как:
- становиться
- было
- до
- булавка
- бюджет
- бремя
- бизнес
- бизнес
- но
- by
- под названием
- вызова
- Объявления
- пришел
- CAN
- Карнеги Меллон
- Центр
- Центры
- вызов
- изменение
- изменения
- заряд
- CISA
- классифицированный
- код
- COM
- сообщество
- Компании
- конкурировать
- сама концепция
- Последствия
- Потребители
- продолжать
- договаривающийся
- Подрядчик
- подрядчики
- спорный
- может
- создание
- критической
- Критическая инфраструктура
- культурный
- кибер-
- Информационная безопасность
- Защита
- Степень
- подробнее
- Определять
- Развитие
- различный
- Интернет
- директор
- документ
- долларов
- драматично
- управлять
- редактор
- редакционный
- эффект
- усилие
- подчеркивать
- принуждение
- достаточно
- Весь
- Эфир (ETH)
- НИКОГДА
- пример
- раскрываться
- Эксплуатировать
- эксплуатация
- Эксплуатируемый
- выраженный
- факт
- далеко
- Федеральный
- Федеральное правительство
- федеральный
- несколько
- в заключение
- Во-первых,
- Фискальный
- 5
- Что касается
- Войска
- Ковка
- Рамки
- свежий
- от
- полностью
- фундированный
- финансирование
- будущее
- Юрий
- Правительство
- предоставлять
- гранты
- большой
- Группы
- руководство
- было
- Есть
- High
- высший
- проведение
- кашель
- Как
- HTTPS
- идея
- определения
- if
- изображений
- иммунный
- Влияние
- Воздействие
- реализация
- в XNUMX году
- Осуществляющий
- улучшать
- in
- стимулировать
- включает в себя
- расширились
- повышение
- промышленность
- Инфраструктура
- небезопасный
- предназначенных
- интерес
- Мультиязычность
- в
- инвестирование
- инвестиций
- Вложения
- IT
- Джен
- JPG
- июль
- Отсутствие
- пейзаж
- Языки
- крупнейших
- Lays
- ведущий
- Юр. Информация
- ответственность
- такое как
- основной
- управление
- управления
- Производители
- многих
- Март
- рынок
- рыночные силы
- Каменщик
- Май..
- означает
- Mellon
- Microsoft
- миллионы
- БОЛЕЕ
- самых
- национальный
- Наций
- Необходимость
- отрицательный
- сеть
- никогда
- Новые
- следующий
- NIST
- нормы
- отметил,
- номер
- цель
- целей
- of
- Офис
- офисов
- on
- ONE
- Op-е изд
- Обзор
- Мнения
- Возможность
- or
- заказ
- заказы
- Другое
- внешний
- контуры
- за
- собственный
- часть
- особенно
- партнеры
- партнерства
- Патчи
- платежи
- столбы
- план
- Планы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пожалуйста
- Точка
- политика
- положительный
- возможность
- потенциал
- представить
- предыдущий
- Расставляйте приоритеты
- приобретение
- производства
- Производство
- Программирование
- языки программирования
- Программы
- проектов
- обеспечение
- обеспечение
- опубликованный
- Нажимать
- положил
- Четверть
- На вопрос
- Выкуп
- вымогателей
- достиг
- Реальность
- последний
- снижение
- "Регулирование"
- регуляторы
- выпустил
- выпуска
- обязательный
- Требования
- исследованиям
- исследование и разработка
- упругий
- Реагируйте
- ответственность
- ответственный
- в результате
- посадочная дистанция
- обычно
- s
- безопасный
- видел
- Школа
- Наука
- Наука и технологии
- рассмотрение
- Во-вторых
- вторая четверть
- Раздел
- безопасный
- безопасность
- продаем
- старший
- несколько
- формирование
- сдвиг
- Смены
- с
- небольшой
- малого бизнеса
- So
- уже
- Software
- разработка программного обеспечения
- некоторые
- Скоро
- Space
- конкретный
- стандартов
- Стратегический
- Стратегия
- отправить
- КОНФЕРЕНЦИЯ ПО СИНЕСТЕЗИИ. МОСКВА, XNUMX-XNUMX ОКТЯБРЯ, XNUMX
- технологии
- технологические компании
- Технологии
- технологические компании
- Развитие технологий
- сказать
- чем
- который
- Ассоциация
- Будущее
- их
- Эти
- они
- мышление
- этой
- те
- угроза
- актеры угрозы
- Через
- сроки
- раз
- в
- слишком
- правда
- по-настоящему
- нам
- Правительство США
- под
- Университет
- Updates
- использование
- через
- разнообразие
- различный
- поставщики
- Просмотры
- видение
- Уязвимости
- Уязвимый
- законопроект
- Путь..
- способы
- ЧТО Ж
- Что
- будь то
- в то время как
- будете
- Работа
- бы
- лет
- являетесь
- ВАШЕ
- зефирнет
- уязвимости нулевого дня