ردود فعل الصناعة على مذكرة بايدن للأمن السيبراني: ردود الفعل يوم الجمعة

الرئيس الأمريكي جو بايدن هذا الأسبوع وقع مذكرة بشأن تعزيز الأمن السيبراني للأمن القومي ووزارة الدفاع وأنظمة مجتمع الاستخبارات.

الهدف من مذكرة الأمن القومي الجديدة هو تنفيذ متطلبات الأمن السيبراني المنصوص عليها في الأمر التنفيذي الموقع من قبل بايدن في مايو 2021 لتحسين الدفاعات الإلكترونية.

على وجه التحديد ، تحدد المذكرة إرشادات وجداول زمنية لتنفيذ متطلبات الأمن السيبراني لأنظمة الأمن القومي (NSS) الموضحة في الأمر التنفيذي.

التعليقات على مذكرة الأمن القومي التي وقعها بايدن

تتطلب المذكرة من الوكالات الإبلاغ عن أي حوادث إلكترونية تابعة لـ NSS إلى NSA ، وتفوض NSA (التي لها دور المدير الوطني) لإنشاء توجيهات تشغيلية ملزمة (BODs) تتطلب من الوكالات اتخاذ تدابير لمعالجة التهديدات السيبرانية ونقاط الضعف المعروفة.

وقد علق المتخصصون في الصناعة على المذكرة وآثارها.

وتبدأ الملاحظات ...

أندرو هوارد ، الرئيس التنفيذي لشركة Kudelski Security

"كانت هذه المعايير الأساسية موجودة ضمن إطار عمل إدارة المخاطر NIST 800-37 الحكومي لفترة طويلة ولكن لم يتم نشرها دائمًا ما لم يكن لدى نظام الكمبيوتر مخاوف كبيرة تتعلق بالسرية أو النزاهة أو التوافر. يعد نشر المصادقة متعددة العوامل وتشفير القرص الصلب في كل مكان عبر الأنظمة الحكومية خطوة حكيمة. إن البصمة الحكومية للأنظمة ضخمة وخط الأساس القوي فكرة جيدة ".

ريك هولاند ، CISO ، نائب رئيس الاستراتيجية ، Digital Shadows:

"حدث اقتحام SolarWinds الذي دمر الشبكات الحكومية في ديسمبر من عام 2020. ونشرت إدارة بايدن الأمر التنفيذي رقم 14028 (تحسين الأمن السيبراني للأمة) في مايو من عام 2021 ، ومع ذلك فإننا نشهد الآن إرشادات لأنظمة الأمن القومي. نظرًا لطبيعة التهديدات والحاجة الملحة لبناء شبكات حكومية مرنة وقابلة للدفاع عنها ، فإنني مندهش من أن التوجيه استغرق هذا الوقت الطويل ليخرج.

لا ينبغي للقراء أن يفترضوا أنه لمجرد تصنيف البرنامج على أنه نظام الأمن القومي (NSS) ، فإنه سيكون أكثر أمانًا بكثير من أنظمة القطاع الخاص أو غير المصنفة. لا تعتبر "الدرجة العسكرية" مرادفًا دائمًا لما هو أفضل أو أكثر أمانًا. تواجه حماية الأنظمة المصنفة العديد من نفس التحديات التي نواجهها جميعًا. تسلط المذكرة الضوء على اكتشاف الأصول ، والتسجيل ، وعدم الثقة الصفرية ، والاستجابة للحوادث ، وهي فرص عالمية ودائمة للتحسين.

ستؤدي عملية إدارة الاستثناءات إلى إبطال هذه المذكرة. هناك أهداف نبيلة حول المصادقة متعددة العوامل والتشفير. إذا لم تتمكن الوكالة من تلبية الجداول الزمنية ، فيمكنها طلب استثناءات. كيف يتم تقييم هذه الاستثناءات والتحقق من صحتها أمر بالغ الأهمية ؛ إذا لم يتحدى المدير الوطني الاستثناءات ويحاسب الوكالات ، فسيكون الكثير من هذه المذكرة نمرًا من ورق ".

جون بامبنيك ، صياد التهديدات الرئيسي ، نيتينريش:

"هذا يبدو وكأنه توجيه مباشر لإنشاء سلطة فردية والتحكم في هذه الأنواع من الأنظمة بحيث يمكن لشخص واحد أن يكون مسؤولاً ومسؤولاً عن حمايتها. تحتوي هذه الأنظمة على المعلومات الأكثر حساسية الموجودة ومن المهم أن يكون هناك "حلق واحد لخنقه" عند حدوث أعطال ".

جوزيف كارسون ، كبير علماء الأمن والاستشاري CISO ، ThycoticCentrify:

الحقيقة هي أن الهجمات الإلكترونية تحدث الآن وعلينا أن نتحرك بسرعة للحد من مخاطر وقوع كارثة كبرى عاجلاً وليس آجلاً. المبادرات الأخيرة من قبل إدارة بايدن رائعة ، ومع ذلك ، يجب أن نعطي الأولوية لما يمكننا القيام به الآن وما يجب أن نفعله في المستقبل. يجب أن نتطلع إلى تسريع الحاجة إلى العمال المهرة في مجال الأمن السيبراني وتتبعهم سريعًا في الصناعة لأن نقص المهارات يزداد فقط. لم يعد الأمن السيبراني مجرد قضية صناعية. إنها طريقة يمكن أن تؤثر على المجتمع بأسره وهذا يعني أن التدريب على الأمن السيبراني ضروري للجميع لتقليل مخاطر الهجمات الإلكترونية. لم يعد الأمن السيبراني مجرد مسار وظيفي. إنها مهارة أساسية في المجتمع الرقمي اليوم ".

جيم ريتشبرج ، فيلد CISO القطاع العام ، فورتينت:

غالبًا ما يتم استبعاد أنظمة الأمن القومي (NSS) من التوجيهات الرئاسية بشأن الأمن السيبراني ؛ لديهم تركيز مختلف وتحكمهم مجموعة مختلفة من السلطات القانونية. في كثير من الأحيان ، يكون الافتراض هو أنه نظرًا لأن هذه البيانات تتعامل مع بيانات الأمن القومي ، فهي بطبيعتها أكثر أمانًا وتتم تغطيتها بمستويات أعلى - أو على الأقل متساوية - من الحماية. توضح مذكرة الأمن القومي (NSS) الصادرة اليوم أن نفس عناصر الصحة الإلكترونية الأساسية التي ينص عليها الأمر EO 14028 للشبكات الحكومية غير التابعة لـ NSS موجودة داخل شبكات الأمن القومي ، مما يضمن وجود قابلية التشغيل البيني للقدرة. هذا مفيد ، بالنظر إلى عدد الأولويات السيبرانية التي تواجهها الوكالات الفيدرالية.

لا يمكنك المبالغة في تقدير مدى صعوبة حماية نفسك من تهديد لا يمكنك اكتشافه ، أو لم تتوقعه ، أو يؤثر على الأصول التي لم تكن تعلم أنها تمتلكها. يعزز هذا التوجيه قدرات NSA ، بصفتها المدير الوطني لأنظمة NSS ، لتوحيد هذه الأنظمة المهمة والمهام التي تدعمها. يتطلب من الوكالات إنشاء ومشاركة قوائم الجرد مع وكالة الأمن القومي والإبلاغ عن الحوادث الإلكترونية. كما يسمح لوكالة الأمن القومي بإصدار توجيهات تشغيلية ملزمة (BODs) تتطلب من الوكالات التي لديها NSS اتخاذ إجراءات محددة. هذا يوازي سلطة وزارة الأمن الداخلي فيما يتعلق بالشبكات المدنية غير التابعة لـ NSS ، مما يضمن عمل الحكومة بالكامل ضد تهديد محتمل أو ضعف.

خلاصة القول: من خلال تسليط الضوء على NSS ، يوضح أن مستويات الحماية والتركيز على هذه الأنظمة الهامة يجب أن تكون مساوية أو تتجاوز الشبكات الفيدرالية غير التابعة لـ NSS. علاوة على ذلك ، فهي تعزز قابلية التشغيل البيني والتعاون في تحديد التهديدات التي تتعرض لها النطاق الكامل للشبكات الفيدرالية والحماية منها ".

مايك وشيك ، المؤسس والرئيس التنفيذي لشركة Stairwell:

"يبدو أن التوجيه في وضع يسمح له بمساعدة دور وكالة الأمن القومي في إدارة الأنظمة المصنفة عبر شبكات الحكومة الأمريكية ، لزيادة دفع تبني مبادئ عدم الثقة عبر الوكالات ، وللمساعدة في ضمان أن الوكالات لديها خطط شاملة في حالات الطوارئ.

بينما توفر الثقة الصفرية مبادئ مهمة لضمان أمان الشبكة ، إلا أن التحذير المهم هو أنها لن تمنع دائمًا الاستغلال من الثغرات الأمنية ، مثل Log4j. سيقلل بشكل كبير من قدرة المهاجم على التحرك بشكل جانبي والتحول إلى أنظمة أخرى - مما يمنح المدافعين مزيدًا من الوقت للرد ".

السناتور مارك ر. وارنر ، رئيس لجنة مجلس الشيوخ المختارة للاستخبارات:

"إنني أحيي الرئيس بايدن لتوقيعه هذا الأمر لتحسين الأمن السيبراني لبلدنا. من بين الأولويات الأخرى ، تتطلب مذكرة الأمن القومي هذه (NSM) من الوكالات الفيدرالية الإبلاغ عن الجهود المبذولة لخرق أنظمتها من قبل مجرمي الإنترنت والمتسللين الذين ترعاهم الدولة. حان الوقت الآن لكي يتصرف الكونجرس من خلال تمرير تشريعاتنا المكونة من الحزبين والتي تتطلب من مالكي ومشغلي البنية التحتية الحيوية الإبلاغ عن مثل هذه الاختراقات الإلكترونية في غضون 72 ساعة ".

إدوارد كوفاكس (تضمين التغريدة) محرر مساهم في SecurityWeek. عمل كمدرس لتكنولوجيا المعلومات في المدرسة الثانوية لمدة عامين قبل أن يبدأ حياته المهنية في الصحافة كمراسل لأخبار الأمن في Softpedia. يحمل إدوارد درجة البكالوريوس في المعلوماتية الصناعية ودرجة الماجستير في تقنيات الكمبيوتر المطبقة في الهندسة الكهربائية.

الأعمدة السابقة بواسطة إدوارد كوفاكس:

الوسوم (تاج):

المصدر: https://www.securityweek.com/industry-reactions-biden-cybersecurity-memo-feedback-friday

ذكاء البيانات التوليدية

ردود فعل الصناعة على مذكرة بايدن للأمن السيبراني: ملاحظات الجمعة

What Is the Best Marketing Strategy to Get People to Join Your Crypto Project? – Coinband

كيف تؤثر ألعاب الفيديو على صناعة القمار: خصوصيات التعاون

أحدث المعلومات الاستخباراتية

مسؤولو الجيش يشككون في خطة الاستطلاع الهجومي المستقبلي

Shangri La هو الخيار الأمثل للمقامرين الأذكياء في المستقبل

فرنسا وألمانيا توقعان على نظام دبابات القتال المستقبلي

شركة Consensys ترفع دعوى قضائية ضد هيئة الأوراق المالية والبورصات بشأن وضع Ethereum

تدعي شركة Meta AR Glasses أنها مذهلة مثل الصدع الأصلي

تحصل "EA Sports WRC" على دعم الواقع الافتراضي للكمبيوتر الشخصي في الأسبوع المقبل بعد إطلاق الموسم الرابع

الدردشة معنا