CISA predstavlja celovit načrt kibernetske varnosti za večjo odpornost

Ameriški urad za kibernetsko varnost in infrastrukturo (CISA) je predstavil obsežen triletni načrt za kibernetsko varnost, usmerjen v izboljšanje odpornosti proti kibernetskim grožnjam. Strateški načrt se osredotoča na ključna področja, ki se nanašajo na sodobne kibernetske grožnje in poudarjal uporabo širokega sodelovalnega pristopa za reševanje sedanjih in tudi prihodnjih problemov kibernetske varnosti.

Medtem ko CISA svetuje zveznim vladnim agencijam, se njeni načrti tipično razširijo na celotno industrijo programske opreme in ponudnike tehnologije. Ker se te uporablja po celem svetu, so ti načrti pogosto vzeti kot ena od osnov za varnostno politiko tudi v drugih državah sveta.

CISA je v dokumentu ponovila svoja splošna opozorila, da morajo biti tehnološki izdelki varni že ob izdaji izdelka. Kot družba ne moremo več sprejeti modela, kjer je vsak tehnološki izdelek ranljiv v trenutku, ko je izdan in kjer je največje breme za varnost na strani posameznih organizacij in uporabnikov.

Tehnologijo je treba oblikovati, razviti in preizkusiti, da se zmanjša število napak, ki jih je mogoče izkoristiti, preden se uvedejo na trg. Ponudniki tehnologije morajo vgraditi varnost v izdelke v celotnem življenjskem ciklu, prodajati izdelke z varnimi privzetimi nastavitvami in spodbujati radikalno transparentnost, ko so odkrite slabosti v programski, strojni opremi, sistemih in povezovanjih med sistemi.

Glede na to CISA želi, da ponudniki tehnologije redno objavljajo podrobne modele grožen, ki prikazujejo, kje so potrebne zaščite izdelkov. Proizvajalci bodo morali uvesti in poročati skozi kontrole, določene v ogrodju za varen razvoj programske opreme Secure Software Development Framework (SSDF). Poleg tega bo obvezno poročati, da so obvestila o ranljivosti in izpostavljenosti njihovega izdelka vselej pravilna in popolna.

Nadalje bodo ponudniki morali objavljati časovne načrte razvoja varnostnih mehanizmov, vključno s tem, kako ponudnik spreminja svoje postopke razvoja programske opreme, meri stopnje napak in postavlja cilje za izboljšave ter prehod na programske jezike, ki bolje varujejo sisteme. Ob tem bodo morali redno objavljati statistične podatke in trende pomembne za varnost, kot je stopnja uporabe orodij MFA [multifactor authentication], uporaba nevarnih podedovanih protokolov in odstotek strank, ki uporabljajo nepodprte različice izdelkov.

Načrt je posledica zakonskih sprememb v ZDA, ki jih je v letu 2022 sprejela administracija predsednika Bidena (CIRICA, Cyber Incident Reporting for Critical Infrastructure Act) s ciljem, da zmanjšajo kibernetske nevarnosti za državo in gospodarstvo. Načrt agencije CISA trenutno spodbuja prostovoljno poročanje organizacij o kibernetskih incidentih, vendar bo v prihodnjih letih dopolnjeno z obveznim poročanjem.