Джон К. Хиггинс
3 августа 2021 г., 14:08 по тихоокеанскому времени
Правительство США движется быстро и активно устранять уязвимости кибербезопасности, затрагивающие как федеральное правительство, так и частный сектор.
Постановлением президента Джозеф Байден приказал федеральным агентствам разработать несколько программ, направленных на смягчение последствий недавних атак кибербезопасности, которые привлекли внимание всей страны.
Сектор информационных технологий, включая компании, которые прямо или косвенно участвуют в предоставлении ИТ-продуктов и услуг федеральному правительству, будет особенно затронут положениями «Исполнительного указа Байдена о повышении кибербезопасности нации»
Соединенные Штаты «сталкиваются с постоянными и все более изощренными злонамеренными кибер-кампаниями», — заявил президент, когда 12 мая 2021 г. выпустил ЭО. «Постепенные улучшения не дадут нам необходимой безопасности; вместо этого федеральное правительство должно принять меры. смелые изменения и значительные инвестиции для защиты жизненно важных институтов, лежащих в основе американского образа жизни », — сказал он.
Содержание статьи
План охватывает множество кибермеханизмов
ОР поставило несколько целей по повышению кибербезопасности в рамках федерального правительства, включая ужесточение стандартов и усиление обнаружения. Директива также призывает к улучшению обмена кибер-информацией между правительством и предприятиями и к созданию Совета по анализу безопасности кибербезопасности по образцу Национального совета по безопасности на транспорте.
В целом ИТ-сообщество и бизнес-сообщества поддержали план Байдена, но в основном в контексте того, что ОР было первым шагом и потребует значительного вклада частного сектора. Аарон Купер, вице-президент по глобальной политике BSA | Софтверный альянс заявил, что группа была «впечатлена широтой и смелостью этого распоряжения», отметив при этом, что BSA была открыта «для работы с администрацией над внедрением и продвижением методов обеспечения безопасности программного обеспечения как в правительстве, так и за его пределами».
В том же духе Джейсон Оксман, президент Совета индустрии информационных технологий (ITI), приветствовал эту инициативу, отметив, что его организация рассчитывает на сотрудничество с администрацией в целях повышения безопасности, "при сведении к минимуму любого потенциального воздействия на неприкосновенность частной жизни, гражданские свободы и конкурентоспособность США ".
Внимание поставщика программного обеспечения
Важно отметить, что эта инициатива требовала выпуска документа, описывающего «минимальные элементы» Спецификации программного обеспечения (SBOM), который федеральные агентства могут использовать для обеспечения кибербезопасности. защита при заключении контрактов с поставщиками на закупку продуктов и услуг ИТ.
ЭО было направлено на включение схемы защиты SBOM в федеральные контрактные закупки ИТ и операционных технологий (OT) в течение года в рамках процесса федерального регулирования закупок (FAR).
Это влияние закупок, вероятно, привело к подаче более 80 комментариев в Национальное управление по телекоммуникациям и информации (NTIA), агентство в составе Министерства торговли. Указом NTIA было поручено определить объем программы SBOM для использования в федеральных контрактах. NTIA выполнило выпуск отчета о требованиях и рекомендациях SBOM 12 июля.
«SBOM — это формальная запись, содержащая подробности и взаимосвязи цепочки поставок различных компонентов, используемых при создании программного обеспечения», — согласно NTIA. Теория риска, связанная с SBOM, состоит в том, что чем больше пользователь или заказчик программного обеспечения знает о строительных блоках программного продукта или услуги — элементах — тем более способным будет пользователь обнаруживать уязвимости, связанные с каждым элементом.
«Хотя SBOM не решит всех проблем безопасности программного обеспечения, он предлагает потенциал для отслеживания известных недавно появившихся уязвимостей и рисков, и он может сформировать фундаментальный уровень данных, на котором могут быть построены дополнительные инструменты, методы и гарантии безопасности. ", — сказал Аллан Фридман, директор NTIA по инициативам в области кибербезопасности.
Чувство срочности
В правительственном постановлении правительство заявило, что такого раскрытия информации крайне не хватает в федеральном процессе приобретения информационных технологий и что существует «острая необходимость» в исправлении ситуации.
«Разработке коммерческого программного обеспечения часто не хватает прозрачности, недостаточного внимания к способности программного обеспечения противостоять атакам и адекватного контроля для предотвращения взлома злоумышленниками», — сказал ОР.
Подробный предписывающий характер ОР может, на первый взгляд, показаться попыткой слишком сильно влезть в сорняки федеральных закупок ИТ.
Однако Эрик Байрс, основатель и технический директор Adolus, поставщика услуг по обеспечению безопасности программного обеспечения, сказал в своем блоге: «Я начну с наблюдения, что обеспечение безопасности цепочки поставок программного обеспечения, возможно, является основной задачей этого руководителя. порядок." Отмечая влияние недавнего нарушения федеральной ИТ-инфраструктуры компанией Solar Winds, «такого рода широкомасштабные разрушения наверняка зададут тон для этого ОР», — сказал он
.
В своих комментариях NTIA до выпуска 12 июля документа SBOM, Internet Association (IA) поддержала эти усилия, но заявила, что, хотя подход NTIA может иметь смысл для обычного программного обеспечения, работающего на территории клиента, он " недостаточно учитывает некоторые уникальные элементы, присущие облачным сервисам ».
IA рассудил, что механизмы доставки« как услуга »« представляют другой вариант использования », добавив, что, поскольку кодовая база меняется очень быстро По мере развертывания облачных вычислений такие ссылки могут устареть «почти сразу». IA призвал NTIA решить эту проблему, используя существующий правительственный инструмент облачных закупок под названием FedRAMP для включения протоколов SBOM.
«SBOM — важный инструмент повышения прозрачности, но его не следует неправильно истолковывать как механизм для улучшения безопасных методов разработки программного обеспечения. Важно отметить, что NTIA не должно пытаться решить всю сложную проблему безопасности цепочки поставок с помощью SBOM, а вместо этого должно сосредоточиться на создании они жизнеспособны, сохраняя минимальные элементы настолько простыми, насколько это возможно ", — сказал Джон Миллер, старший вице-президент по политике и главный юрисконсульт ITI.
NTIA следует рассматривать защиту SBOM только как один из аспектов «целостного» подхода к вопросам кибербезопасности, заявила ITI в своих комментариях NTIA.
Многое для обсуждения
В частности, ITI осторожно подходила к стандартизации определенных аспектов безопасности, включая ссылки на общие уязвимости (CVE), используемые для выявления недостатков безопасности, поскольку «не все поставщики имеют та же бизнес-модель или те же механизмы для предоставления информации об уязвимостях в программном обеспечении ».
Хотя подход NTIA предусматривает использование SBOM в федеральных контрактах, реализация в течение года вполне может потребовать большего диалога. Internet Association отметила, что, хотя ее озабоченность по поводу развертывания «как услуги» и облачных вычислений специально не рассматривалась NTIA, «намерение решить эти проблемы в будущем обнадеживает». NTIA оставило дверь открытой для дальнейшего обсуждения посредством итеративного процесса.
В заявлении, предоставленном E-Commerce Times пресс-секретарем Кристиной Мартин, IA отметило, что «в документах NTIA и Национального института стандартов и технологий (NIST) содержится призыв к продолжению сотрудничества между государственным и частным секторами», особенно в том, что касается к применению стандартов SBOM и проверки разработчиков к облачным сервисам.
Вклад отрасли «будет особенно важен для любых изменений в FAR или процессах закупок, поэтому мы надеемся, что процесс общественного обсуждения, который обычно используется для изменений в FAR, будет соблюдаться», — сказал IA.
«Мы воодушевлены заявлением NTIA о том, что оно будет продолжать привлекать заинтересованные стороны в отрасли и развивать процесс определения критических элементов ведомости материалов по программному обеспечению. Мы с нетерпением ждем возможности работать с ними в этом направлении», — Кортни Лэнг, старший директор по политике ITI сообщил E-Commerce Times.
Какое бы направление ни взяло правительство США в отношении вопросов безопасности программного обеспечения, связанных с SBOM, программа уже оказывает влияние на частный сектор.
В краткосрочной перспективе отчет NTIA за июль 2021 года «станет окончательным документом для федеральных постановлений», — сказал Байрс. «Но его быстро вытеснят рыночные усовершенствования. Теперь, когда федеральное правительство дало волю SBOM, мы видим, что многие крупные компании также требуют SBOM от своих поставщиков», — сказал он E-Commerce Times. 
