Белый дом запускает план внедрения кибербезопасности
15 июля 2023 г.Администрация президента США Байдена на этой неделе опубликовала первую версию Плана реализации национальной стратегии кибербезопасности, о котором было объявлено в марте 2023 года. План направлен на повышение устойчивости государственной и частной кибербезопасности, борьбу с субъектами угроз, усиление защиты инфраструктуры и составить четкую национальную дорожную карту обязанностей в области кибербезопасности.
Перейти к:
- Каковы основы этого плана кибербезопасности?
Цепочка поставок программного обеспечения — новый фокус
План включает в себя борьбу с киберпреступниками
Баланс правил безопасности и лучших практик
Частный сектор должен сосредоточить внимание на киберустойчивости
Каковы основы этого плана кибербезопасности?
Каждая инициатива в плане согласуется с одним из пяти основных столпов:
- Защитите критически важную инфраструктуру.
Прервите и ликвидируйте злоумышленников.
Формируйте рыночные силы для обеспечения безопасности и устойчивости.
Инвестируйте в устойчивое будущее.
Создавайте международные партнерства для достижения общих целей.
В рамках Плана реализации национальной стратегии кибербезопасности действует более 65 федеральных инициатив. Согласно документу Белого дома о плане, в нем рассматриваются две критически важные области: потребность в большем количестве «способных участников» в киберпространстве, чтобы взять на себя больше обязанностей в области кибербезопасности, и необходимость стимулировать и инвестировать в долгосрочную устойчивость.
Восемнадцать агентств возглавят общегосударственный план, который состоит из множества мероприятий, включая обновление Национального плана реагирования на кибер-инциденты и борьбу с программами-вымогателями с помощью Объединенной целевой группы по программам-вымогателям.
ПОСМОТРЕТЬ: Белый дом также присматривается к ИИ (TechRepublic)
Разыскивается: национальный кибер-директор
Дрю Бэгли, вице-президент CrowdStrike, советник по конфиденциальности и киберполитике, который, по словам компании, предварительно ознакомился с планом Белого дома, прокомментировал порядок действий федерального правительства, действующий до 2026 финансового года.
Он сказал: «Это особенно важно, потому что многие пункты Стратегии включают множественные зависимости. Несмотря на то, что план реализации охватывает много вопросов, ясно, что авторы уделили значительное внимание широкому применению принципов «Безопасность по дизайну/Безопасность по умолчанию».
Ссылаясь на первый компонент, который направлен на обеспечение безопасности инфраструктуры с акцентом на государственно-частное партнерство, Бэгли сказал, что план не только уделяет внимание прояснению ролей агентств по управлению рисками, но также возлагает важные обязанности на Управление управления. и Бюджет.
Публикация Плана состоялась на следующий день после того, как Коалиция по кибербезопасности — с подписями четырех других групп индустрии безопасности и программного обеспечения — отправила письмо в Белый дом с призывом к администрации Байдена назначить нового национального директора по кибербезопасности до конца месяца.
Бэгли отметил, что Офис национального директора по кибербезопасности также будет руководить некоторыми ключевыми инициативами, включая гармонизацию нормативных требований, выполнение сценариев учений и создание ячеек для усиления противодействия со стороны противника.
Цепочка поставок программного обеспечения — новый фокус
Третий компонент Плана внедрения направлен на обеспечение безопасности цепочки поставок программного обеспечения с акцентом на отказоустойчивость разработки программного обеспечения. Главный стратег VMware по кибербезопасности Рик МакЭлрой высоко оценил этот план; он сказал, что защита облачного программного обеспечения — программного обеспечения как услуги — требует особого внимания.
«Нынешний NCSIP демонстрирует приверженность этой администрации кибербезопасности, опираясь на указы и средства, предназначенные для преобразования и модернизации системы кибербезопасности федерального правительства, что давно назрело», — сказал МакЭлрой. «Однако одним из соображений для этого является Спецификация программного обеспечения для облачного программного обеспечения. Что такое облачный SBOM? На что это похоже? И наоборот, как можно применить SBOM для практической защиты от кибербезопасности, чтобы использовать эти данные для уменьшения шума?»
Он добавил, что нынешняя рабочая группа, возглавляемая Администрацией кибербезопасности и безопасности инфраструктуры, работает над решением этой проблемы. «Но остается пробел в обсуждениях SBOM. SaaSBOM является обязательным условием в облачном мире», — подчеркнул МакЭлрой.
План включает в себя борьбу с киберпреступниками
Второй компонент Плана включает в себя Департамент «Увеличение объема и скорости подрывных кампаний против киберпреступников, противников национального государства и связанных с ними пособников (например, лиц, занимающихся отмыванием денег) путем расширения его организационных платформ, посвященных таким угрозам, и увеличения числа квалифицированных адвокатов, занимающихся кибер-работой», — говорится в документе «План».
Пятый столп направлен на развитие международного сотрудничества; В документе администрации говорится, что федеральное правительство должно разработать скоординированные операции.
«Чтобы активно защищаться, нам также нужна карта активности киберпреступников в Интернете в режиме реального времени. Организации и страны более чем готовы формировать коалиции со своими надежными союзниками для создания безопасного и процветающего цифрового ландшафта», — заявила Андреа Эрвье, глава глобального партнерства CrowdSec. Эрвье был частью французской делегации по кибербезопасности, которая встречалась с CISA и командами в Белом доме в преддверии выпуска стратегии в начале этого года.
Баланс между нормами безопасности и лучшими практиками
По словам Рона Никсона, федерального директора по технологиям Cohesity и бывшего советника армейского киберкомандования, такие программы, как усилия CISA по улучшению платформ для обмена информацией, облегчат организациям с меньшими ресурсами понимание, определение приоритетов и реагирование на угрозы. Однако его беспокоит удушающее влияние чрезмерного регулирования.
«Баланс между ответственностью за лучшие практики безопасности и отсутствием чрезмерного регулирования остается сложным. Я хотел бы видеть больше ясности в отношении того, как различные агентства будут устанавливать отраслевые рекомендации, поскольку такие группы, как больницы, банки и стартапы SaaS, будут иметь разные активы, таланты и возможности», — сказал Никсон. «Я надеюсь, что как только Совет национальной безопасности внесет ясность в этот вопрос, а организации частного сектора уяснят передовой опыт и нюансы для своей конкретной отрасли, они смогут привести всю свою организацию в соответствие с нормами, сохраняя свое лидерство — от киберпространства до ИТ. риск, юридический и HR — несут ответственность за выполнение своей части сделки».
Частный сектор должен сосредоточить внимание на киберустойчивости
Джон Эрнандес, президент и генеральный менеджер Quest Software, а также бывший топ-менеджер Salesforce и IBM, сказал, что федеральное правительство с 2016 года уделяет основное внимание облачным инициативам. Закон об отчетах об инцидентах в критически важной инфраструктуре от 2022 года, а также обязывает поставщиков инфраструктуры как услуги и производителей программного обеспечения соблюдать стандарты безопасности, предусмотренные дизайном.
«Однако, хотя эта стратегия может снять большую часть бремени по установлению стандартов кибербезопасности и помощи организациям с ограниченными ресурсами, лидеры частного сектора по-прежнему должны нести ответственность и разработать упреждающую долгосрочную стратегию устойчивости», — сказал Эрнандес. «Я рекомендую предприятиям с устаревшей инфраструктурой инвестировать в устойчивость изнутри, как с точки зрения технологий, так и с точки зрения культуры, и обеспечить, чтобы каждый заинтересован в адаптации к последним взлетам и падениям в экосистеме безопасности».
Оригинал