Η πρωτοβουλία ασφάλειας ανά σχεδιασμό της CISA κινδυνεύει: Ακολουθεί μια πορεία προς τα εμπρός


Τεχνολογία


Η πρωτοβουλία ασφάλειας ανά σχεδιασμό της CISA κινδυνεύει: Ακολουθεί μια πορεία προς τα εμπρός


Τρέι Χερ

είναι ο διευθυντής του Cyber ​​Statecraft Initiative του Atlantic Council.


Μάγια Χαμίν

είναι αναπληρωτής διευθυντής της Cyber ​​Statecraft Initiative.


Ο Γουίλ Λούμις

είναι αναπληρωτής διευθυντής της Cyber ​​Statecraft Initiative.


Στιούαρτ Σκοτ



Συνεισφέρων


Στιούαρτ Σκοτ

είναι αναπληρωτής διευθυντής της Cyber ​​Statecraft Initiative.

Της κυβέρνησης Μπάιντεν

2023 Εθνική Στρατηγική Κυβερνοασφάλειας

εντόπισε διαρθρωτικές ελλείψεις στην κατάσταση της κυβερνοασφάλειας, επισημαίνοντας την αποτυχία των δυνάμεων της αγοράς να κατανείμουν επαρκώς την ευθύνη για την ασφάλεια των δεδομένων και των ψηφιακών συστημάτων. Κυρίως, η στρατηγική επιδιώκει να «εξισορροπήσει εκ νέου την ευθύνη [for

] σε αυτούς που βρίσκονται στην καλύτερη θέση».

Λίγο μετά την έναρξη της στρατηγικής τον Μάρτιο του τρέχοντος έτους, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) ξεκίνησε μια προσπάθεια να «μετατοπιστεί η ισορροπία του κινδύνου για την ασφάλεια στον κυβερνοχώρο» πιέζοντας τις εταιρείες να υιοθετήσουν την ασφάλεια ανά σχεδιασμό (SbD).

πρακτικές

βελτιώνοντας την ασφάλεια και την ασφάλεια των προϊόντων τους στη φάση του σχεδιασμού και σε όλο τον κύκλο ζωής τους.

Η ανακοίνωση της διευθύντριας της CISA Jen Easterly για αυτές τις προσπάθειες φαίνεται να θέτει την CISA στην πρώτη γραμμή αυτής της επανεξισορρόπησης, απευθυνόμενη στους προμηθευτές τεχνολογίας

κίνητρα για ανεπαρκείς επενδύσεις στην ασφάλεια

μέσω αλλαγών στον τρόπο με τον οποίο αυτές οι εταιρείες σχεδιάζουν και αναπτύσσουν τα προϊόντα που πωλούν. Ως η πρώτη ουσιαστική πρόταση από την κυβέρνηση του Προέδρου Μπάιντεν για την πραγματοποίηση αυτής της επανεξισορρόπησης από την έναρξη της στρατηγικής, η επιτυχία ή η αποτυχία της πρωτοβουλίας SbD θα μπορούσε να αποτελέσει καμπανάκι για μία από τις δύο θεμελιώδεις ιδέες της στρατηγικής.

Η επιτυχία με το SbD κινδυνεύει, ωστόσο, τόσο από τις πολιτικές προκλήσεις της εφαρμογής πρακτικών SbD όσο και από την απειλή μη ρεαλιστικών προσδοκιών. Αυτό το κομμάτι απευθύνεται και στα δύο και υπογραμμίζει μια πορεία προς τα εμπρός.

Πολιτικοί και δομικοί αντίθετοι άνεμοι

Η πολιτική της υλοποίησης του SbD — που απαιτεί σιωπηρά την ικανότητα επιβολής αλλαγής στις πρακτικές των προμηθευτών, καθώς και τη διορατικότητα για τον σχεδιασμό τους — είναι ύπουλο έδαφος για την CISA, καθώς η ταχέως αναπτυσσόμενη υπηρεσία δεν είναι ρυθμιστής. Με τον καιρό, μπορεί να γίνει ένα, αλλά η σημερινή και η προηγούμενη ηγεσία επιμένουν ότι τέτοιες ευθύνες θα έρχονται σε αντίθεση με την κουλτούρα του οργανισμού και τις επιχειρησιακές του ευθύνες.

Η ικανότητα του οργανισμού να υποστηρίζει, να αναπτύσσει ικανότητες, να εκπαιδεύει, να συντονίζει και να σχεδιάζει μαζί με κρατικές, τοπικές, φυλετικές και εδαφικές οντότητες και μετόχους του κλάδου βασίζεται στη διάθεσή του ως αξιόπιστου συνεργάτη και ουδέτερου φορέα.

Αυτό σημαίνει ότι η CISA θα πρέπει να είναι μόνο μία από τις πολλές ομοσπονδιακές υπηρεσίες που εργάζονται για την εφαρμογή του SbD, με τη συνεργασία ρυθμιστικών αρχών όπως η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC), ένα αιχμηρό και αιχμηρό συμπλήρωμα στην ανοιχτή προσέγγιση της CISA. Διαφορετικά, η πρωτοβουλία SbD θα μπορούσε να θέσει την CISA σε δεσμό, προσπαθώντας να διορθώσει εδραιωμένα προβλήματα κινήτρων της αγοράς, αλλά χωρίς τη δυνατότητα να υποχρεώσει τις εταιρείες να ενεργήσουν διαφορετικά. Οι προσπάθειες της CISA για τη δημιουργία λογοδοσίας ενδέχεται να υπονομεύσουν τις προσπάθειές της να δημιουργήσει υπεραξία.

Η ανάπτυξη και ο καθορισμός ενός συνόλου πρακτικών SbD που μπορούν να πιστοποιήσουν οι πωλητές και που η κυβέρνηση των ΗΠΑ και άλλα μέρη μπορούν να επαληθεύσουν ή να επιβάλουν, είναι από μόνη της μια τεράστια επιχείρηση. Η CISA πρέπει να δημιουργήσει πρακτικές SbD παράλληλα με μια αρχιτεκτονική επιβολής που θέτει σαφείς ρόλους για οντότητες όπως η FTC, το Υπουργείο Άμυνας, η Επιτροπή Κεφαλαιαγοράς και η Διοίκηση Γενικών Υπηρεσιών.

Ο Λευκός Οίκος έχει επίσης ευθύνη και εδώ, και συγκεκριμένα το Γραφείο του Εθνικού Διευθυντή Κυβερνοχώρου, να καθοδηγήσει αυτήν την προσπάθεια πολλαπλών υπηρεσιών σε μια στρατηγική διαχείρισης της πολιτικής του κλάδου για τη μετατόπιση των κινήτρων σε αυτήν την αγορά — ακριβώς αυτό που σχεδιάστηκε, στελεχώθηκε το γραφείο , και οργανωμένη να κάνει. Η εστίαση της CISA πρέπει να παραμείνει στην απαρίθμηση και την ενημέρωση των βασικών πρακτικών SbD.

Μόνο ένα κομμάτι του παζλ

Όπως έχουμε

μάλωσε πριν,

«Καμία στρατηγική δεν μπορεί να αντιμετωπίσει όλες τις πηγές κινδύνου ταυτόχρονα, αλλά . . . Οι ασημένιες σφαίρες συχνά ανταλλάσσουν τη ρητορική σαφήνεια με ακρωτηριασμούς εσωτερικούς συμβιβασμούς». Το πρόγραμμα SbD θα μπορούσε να επιτύχει βαθιές, ουσιαστικές αλλαγές στον τρόπο με τον οποίο ορισμένοι από τους μεγαλύτερους προμηθευτές τεχνολογίας δημιουργούν υπηρεσίες και προϊόντα. Αυτές οι αλλαγές θα είχαν ουσιαστικά οφέλη για την ασφάλεια κάθε χρήστη της τεχνολογίας.

Ωστόσο, το να παραπλανήσουμε όλες τις εταιρείες προς ένα ολοκληρωμένο και ενιαίο σύνολο βέλτιστων πρακτικών είναι ένα ουσιαστικά ανολοκλήρωτο έργο.

Οι κακόβουλοι ηθοποιοί αναζητούν συνεχώς νέα μέσα εκμετάλλευσης. διαφορετικοί τομείς και κατηγορίες συστημάτων αντιμετωπίζουν διαφορετικές και μοναδικές προκλήσεις. και οι νέες τεχνολογίες είναι επιρρεπείς σε τρόπους αποτυχίας, τόσο νέους όσο και απρόβλεπτους. Η υιοθέτηση ορισμένων νέων διαδικασιών, η αυστηρή επιβολή τους και ο καθορισμός των υφιστάμενων κινήτρων θα εξακολουθούσαν να αποτελούν μια πολύ αναγκαία βελτίωση σε σχέση με το τρέχον status quo.

Ωστόσο, η υιοθέτηση γλωσσών που είναι ασφαλείς για τη μνήμη ή η ώθηση μεγάλων παραγόντων προς καλύτερη διαχείριση κινδύνου δεν θα είχε αναγκαστικά αποτρέψει πολλές σημαντικές ευπάθειες στην πρόσφατη μνήμη, όπως το Log4Shell. Για να πετύχει, η CISA θα πρέπει επίσης να κατανοήσει πώς οι μεγάλες εταιρείες τεχνολογίας κατασκευάζουν προϊόντα και υπηρεσίες — η τρέχουσα πρακτική του κλάδου απέχει πολύ από το να είναι ολοκληρωμένη ή τέλεια, αλλά είναι η βάση από την οποία η SbD ελπίζει να οδηγήσει στην αλλαγή. Η κατανόηση ότι η βασική γραμμή είναι κρίσιμη.

Υπάρχει κίνδυνος όταν η ρητορική γύρω από τη μετάθεση ευθυνών στον κυβερνοχώρο υποδηλώνει ότι υπάρχουν προβλήματα και προκλήσεις στον κυβερνοχώρο

μόνο

επειδή οι προμηθευτές τεχνολογίας περιορίζουν τις γωνίες ή ότι όλοι οι κίνδυνοι για την ασφάλεια στον κυβερνοχώρο μπορούν να αποφευχθούν ακολουθώντας ένα απλό σύνολο απλών πρακτικών. Η ολοένα και πιο διασυνδεδεμένη, εξαρτώμενη φύση των συστημάτων λογισμικού, καθώς και η ποικιλία των οργανισμών και συστημάτων με τους οποίους συνδέονται, δημιουργεί από μόνος του κινδύνους.

Το SbD είναι ένα σημαντικό κομμάτι για τη διαχείριση αυτού — το status quo της ευθύνης που αναβάλλεται στον χρήστη

είναι

σπασμένο — αλλά η περιγραφή του SbD ως πανάκειας κινδυνεύει να δημιουργήσει αντιδράσεις όταν αναπόφευκτα επιμένει η ανασφάλεια.

Είναι σαφές ότι η CISA αναγνωρίζει ότι η επιτυχία στο SbD θα μπορούσε να είναι μία από τις πιο σημαντικές παρεμβάσεις πολιτικής στον τομέα της κυβερνοασφάλειας την τελευταία δεκαετία. Είναι επίσης σαφές ότι το πρόγραμμα, ακόμη και στην πιο επιτυχημένη ενσάρκωσή του, θα αφήσει άλυτα ορισμένα προβλήματα. Η ιδιαιτερότητα σχετικά με το εύρος και τους στόχους του προγράμματος θα βοηθήσει στην αποτροπή των αναπόφευκτων επικριτών του να διαστρεβλώσουν τη συζήτηση με όρους όλα ή τίποτα.

Κίνδυνος και ευκαιρία

Το SbD – η πρώτη εκδήλωση πολιτικής της προσπάθειας της Εθνικής Στρατηγικής για την Κυβερνοασφάλεια να μετατοπίσει την ευθύνη – δεν θα προκύψει μόνο από καθαρή καλή θέληση. Το CISA δεν είναι ρυθμιστικός φορέας και πρέπει να καθορίσει μια διαδρομή για τις ομοσπονδιακές υπηρεσίες που είναι ρυθμιστικές αρχές, έτσι ώστε η εφαρμογή του SbD να αξιοποιεί τον ευρύτερο καθορισμό προτύπων, την επιβολή και τις ρυθμιστικές εξουσίες της ομοσπονδιακής κυβέρνησης.

Η αποφυγή της άμεσης επιβολής αυτών των πρακτικών ασφαλείας από την κυβέρνηση κινδυνεύει να παραδώσει την προσπάθεια στην ιστορία, μαζί με πολλά άλλα “

εθελοντικώς

” και “

καθοδηγούμενη από τη βιομηχανία

» προγράμματα.

Η αναπτυσσόμενη και ταλαντούχα ομάδα της CISA έχει 18 μήνες μέχρι τον Ιανουάριο του 2025, κάτι που θα φέρει είτε την παραλυτική αναταραχή της μετάβασης είτε την ακόμα χαοτική ωρίμανση μιας πρώτης διοίκησης σε μια δεύτερη. Οι μεγαλύτεροι πωλητές που θα συμμετείχαν σε αυτό το πρόγραμμα δεν πάνε πουθενά και έχουν την πολυτέλεια να περιμένουν.

Υπό αυτή την έννοια, η CISA και ο ευρύτερος μηχανισμός πολιτικής της κυβέρνησης των ΗΠΑ στον κυβερνοχώρο είναι σε ρολόι. Η CISA πρέπει να επικεντρωθεί στα βασικά στοιχεία της SbD και να οργανώσει, να δημιουργήσει και να συμμετάσχει έχοντας κατά νου μια σαφή προθεσμία. Το ρολόι χτυπά.


techcrunch.com







Μπορεί επίσης να σας αρέσει


Τεχνολογία




4 λόγοι για να μην εγκαταστήσετε το macOS Ventura 13.5.1 & 11 λόγοι που πρέπει…



Τεχνολογία




Δείτε πόσο χρόνο διαρκεί η ενημέρωση του macOS Ventura 13.5.1



Τεχνολογία




Ο Google Chrome θα γίνει πιο αυστηρός με τα αρχεία που κατεβάζετε



3d publishing




Η Amazon τιμωρεί πλέον τους εμπόρους που στέλνουν τα δικά τους προϊόντα



Αφήστε ένα σχόλιο στο άρθρο…



Ακύρωση απάντησης

Η διεύθυνση email σας δεν θα δημοσιευθεί.