Innowacyjna Narodowa Strategia Cyberbezpieczeństwa
Nie tak dawno temu administracja USA opublikowała pierwszą krajową Narodową Strategię Cyberbezpieczeństwa (National Cybersecurity Strategy — NCS). Eksperci oceniają ją jako odważną próbę wyjścia poza schematy i przyspieszenia rozwoju bezpieczeństwa IT. Co ciekawe, nie budzi ona kontrowersji wśród firm, nawet jeśli będzie ona generować nowe koszty i będzie dla nich wyzwaniem. Poznajmy pięć filarów wsparcia cyberbezpieczeństwa według NCS.
- Monika Świetlińska
- /
- 30 marca 2023
Pięć filarów
NCS proponuje stabilizację cyberbezpieczeństwa poprzez wzmocnienie pięciu filarów wsparcia:
Jak zadbać o bezpieczeństwo seniorów w Internecie?Joanna Gościńska
obrona infrastruktury krytycznej;
zakłócanie i eliminowanie aktorów stwarzających zagrożenie;
kształtowanie sił rynkowych w celu zapewnienia bezpieczeństwa i odporności;
inwestowanie w stabilną przyszłość;
tworzenie międzynarodowych partnerstw w celu realizacji wspólnych celów.
SC Media zdradza, jakie trzy taktyki pomogą procesowi iść w pozytywnym kierunku:
Podejście oparte na danych
Kwantyfikacja wyzwań związanych z cyberbezpieczeństwem i proponowanych rozwiązań zmaksymalizuje wartość uzyskaną z NCS. Ważne jest, aby mierzyć odpowiednie wskaźniki, zwłaszcza wiodące wskaźniki cyberbezpieczeństwa. Do tej pory większość wskaźników cyberbezpieczeństwa koncentrowała się na wskaźnikach końcowych, takich jak dane zebrane w następstwie ataków ransomware.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Musimy przyjrzeć się wynikom testów bezpieczeństwa oprogramowania przed wdrożeniem lub wysyłką oprogramowania. Takie informacje będą wiodącym wskaźnikiem postępu. Takie podejście zapewni cenny wgląd w to, czy dostawcy dostarczają oprogramowanie jako usługę (SaaS), na przykład, które są w stanie wytrzymać cyberataki.
Większa przejrzystość
Nie można dłużej tolerować opracowywania produktów dla rządu przy użyciu nieprzejrzystego oprogramowania typu open source. Branża musi pociągnąć dostawców do odpowiedzialności za luki w zabezpieczeniach produktów wykorzystujących kod open source. Agencje cywilne i oprogramowanie, którego używają do wykonywania misji, były do tej pory mniej kontrolowane niż organizacje obronne. Patrząc w przyszłość, będą musiały przestrzegać tych samych lub podobnie rygorystycznych standardów stosowanych przez Departament Obrony, którego wyższe poziomy pewności w zakresie cyberbezpieczeństwa wpłynęły na rozwój przepisów w NCS.
Należy rozważyć zestawienia materiałów oprogramowania (SBOM — szczegółowy przewodnik po tym, co znajduje się w oprogramowaniu. Pomaga sprzedawcom i nabywcom śledzić komponenty oprogramowania w celu zwiększenia bezpieczeństwa łańcucha dostaw oprogramowania), listy składników w aplikacjach. Bez wiedzy o tym, co jest w kodzie open source, nie można zabezpieczyć tych aplikacji. Departament Obrony Stanów Zjednoczonych będzie przewodzić w przyjmowaniu SBOM, a agencje cywilne pójdą w jego ślady. Przepisy w NCS, które mają wpływ na sprzedawców lub dostawców, trafią najpierw do Departamentu Obrony. Jeśli kontrahenci z sektora obronnego nie dostarczają SBOM ze swoim oprogramowaniem, to ile innych organizacji to zrobi?
Silna kontrola kosztów
Oczywistą przeszkodą we wdrażaniu jest koszt przestrzegania przepisów. Niektóre firmy produkujące oprogramowanie będą opierać się podejmowaniu działań w celu wzmocnienia cyberbezpieczeństwa, aby uniknąć skutków finansowych. To bardzo duże wyzwanie, którego zakresu nie znamy do końca. Niektóre firmy, takie jak Google, już zadeklarowały zamiar wbudowanego bezpieczeństwa w fazie projektowania. Sygnalizują, że zamierzają przestrzegać inicjatyw takich jak ramy bezpiecznego tworzenia oprogramowania (SSDF) – i przedstawiają dowody ich zgodności.
Gdzie indziej firmy, które sprzedają i utrzymują starsze produkty, często są mniej chętne do przestrzegania NCS i innych inicjatyw mających na celu modernizację IT i promowanie cyberbezpieczeństwa. Produkty te, opracowane w czasach, gdy bezpieczeństwo nie stanowiło większego problemu niż obecnie, są obciążone długiem zabezpieczającym. Istnieje obawa, że firmy, które zainwestowały w starszą technologię, będą lobbować za zwolnieniem z obowiązku przestrzegania przepisów, dopóki nabywcy rządowi nie wycofają się z ich produktów.
“Narodowa Strategia Cyberbezpieczeństwa będzie próbowała zmienić zepsuty system poprzez zmianę bodźców rynkowych. To świetny pomysł, współmierny do wyzwania i jego potencjalnych konsekwencji. Jeśli wkrótce nie zmienimy zachęt rynkowych, branża utknie w niemożliwym do utrzymania i nieakceptowalnym status quo” — zauważył w swoim artykule Chris Wysopal.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?