Innowacyjna Narodowa Strategia Cyberbezpieczeństwa

Nie tak dawno temu administracja USA opublikowała pierwszą krajową Narodową Strategię Cyberbezpieczeństwa (National Cybersecurity Strategy — NCS). Eksperci oceniają ją jako odważną próbę wyjścia poza schematy i przyspieszenia rozwoju bezpieczeństwa IT. Co ciekawe, nie budzi ona kontrowersji wśród firm, nawet jeśli będzie ona generować nowe koszty i będzie dla nich wyzwaniem. Poznajmy pięć filarów wsparcia cyberbezpieczeństwa według NCS.

  • Monika Świetlińska
  • /
  • 30 marca 2023

Pięć filarów

NCS proponuje stabilizację cyberbezpieczeństwa poprzez wzmocnienie pięciu filarów wsparcia: 

Jak zadbać o bezpieczeństwo seniorów w Internecie?Jak zadbać o bezpieczeństwo seniorów w Internecie?Joanna Gościńska

  1. obrona infrastruktury krytycznej; 

  2. zakłócanie i eliminowanie aktorów stwarzających zagrożenie; 

  3. kształtowanie sił rynkowych w celu zapewnienia bezpieczeństwa i odporności; 

  4. inwestowanie w stabilną przyszłość; 

  5. tworzenie międzynarodowych partnerstw w celu realizacji wspólnych celów.

SC Media zdradza, jakie trzy taktyki pomogą procesowi iść w pozytywnym kierunku:

Podejście oparte na danych

Kwantyfikacja wyzwań związanych z cyberbezpieczeństwem i proponowanych rozwiązań zmaksymalizuje wartość uzyskaną z NCS. Ważne jest, aby mierzyć odpowiednie wskaźniki, zwłaszcza wiodące wskaźniki cyberbezpieczeństwa. Do tej pory większość wskaźników cyberbezpieczeństwa koncentrowała się na wskaźnikach końcowych, takich jak dane zebrane w następstwie ataków ransomware.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Musimy przyjrzeć się wynikom testów bezpieczeństwa oprogramowania przed wdrożeniem lub wysyłką oprogramowania. Takie informacje będą wiodącym wskaźnikiem postępu. Takie podejście zapewni cenny wgląd w to, czy dostawcy dostarczają oprogramowanie jako usługę (SaaS), na przykład, które są w stanie wytrzymać cyberataki.

Większa przejrzystość

Nie można dłużej tolerować opracowywania produktów dla rządu przy użyciu nieprzejrzystego oprogramowania typu open source. Branża musi pociągnąć dostawców do odpowiedzialności za luki w zabezpieczeniach produktów wykorzystujących kod open source. Agencje cywilne i oprogramowanie, którego używają do wykonywania misji, były do tej pory mniej kontrolowane niż organizacje obronne. Patrząc w przyszłość, będą musiały przestrzegać tych samych lub podobnie rygorystycznych standardów stosowanych przez Departament Obrony, którego wyższe poziomy pewności w zakresie cyberbezpieczeństwa wpłynęły na rozwój przepisów w NCS.

FBI alarmuje, że przez cyberprzestępczość utracono 10 mld dolarów. To o ⅓ więcej niż rok temuFBI alarmuje, że przez cyberprzestępczość utracono 10 mld dolarów. To o ⅓ więcej niż rok temuDamian Jemioło

Należy rozważyć zestawienia materiałów oprogramowania (SBOM — szczegółowy przewodnik po tym, co znajduje się w oprogramowaniu. Pomaga sprzedawcom i nabywcom śledzić komponenty oprogramowania w celu zwiększenia bezpieczeństwa łańcucha dostaw oprogramowania), listy składników w aplikacjach. Bez wiedzy o tym, co jest w kodzie open source, nie można zabezpieczyć tych aplikacji. Departament Obrony Stanów Zjednoczonych będzie przewodzić w przyjmowaniu SBOM, a agencje cywilne pójdą w jego ślady. Przepisy w NCS, które mają wpływ na sprzedawców lub dostawców, trafią najpierw do Departamentu Obrony. Jeśli kontrahenci z sektora obronnego nie dostarczają SBOM ze swoim oprogramowaniem, to ile innych organizacji to zrobi?

Silna kontrola kosztów

Oczywistą przeszkodą we wdrażaniu jest koszt przestrzegania przepisów. Niektóre firmy produkujące oprogramowanie będą opierać się podejmowaniu działań w celu wzmocnienia cyberbezpieczeństwa, aby uniknąć skutków finansowych. To bardzo duże wyzwanie, którego zakresu nie znamy do końca. Niektóre firmy, takie jak Google, już zadeklarowały zamiar wbudowanego bezpieczeństwa w fazie projektowania. Sygnalizują, że zamierzają przestrzegać inicjatyw takich jak ramy bezpiecznego tworzenia oprogramowania (SSDF) – i przedstawiają dowody ich zgodności.

Gdzie indziej firmy, które sprzedają i utrzymują starsze produkty, często są mniej chętne do przestrzegania NCS i innych inicjatyw mających na celu modernizację IT i promowanie cyberbezpieczeństwa. Produkty te, opracowane w czasach, gdy bezpieczeństwo nie stanowiło większego problemu niż obecnie, są obciążone długiem zabezpieczającym. Istnieje obawa, że firmy, które zainwestowały w starszą technologię, będą lobbować za zwolnieniem z obowiązku przestrzegania przepisów, dopóki nabywcy rządowi nie wycofają się z ich produktów.

“Narodowa Strategia Cyberbezpieczeństwa będzie próbowała zmienić zepsuty system poprzez zmianę bodźców rynkowych. To świetny pomysł, współmierny do wyzwania i jego potencjalnych konsekwencji. Jeśli wkrótce nie zmienimy zachęt rynkowych, branża utknie w niemożliwym do utrzymania i nieakceptowalnym status quo” — zauważył w swoim artykule Chris Wysopal.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: technologie edukacja bezpieczeństwo w sieci przeglądarki IAM
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!