Logo Zephyrnet

Trí thông minh dữ liệu tạo

Phòng thủ

Chính sách an ninh mạng liên bang mới có ý nghĩa gì đối với các nhà thầu chính phủ

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 81

Vào tháng XNUMX, chính phủ Mỹ đã đưa ra một chính sách mới Chiến lược an ninh mạng được biên soạn bởi Văn phòng Giám đốc Mạng Quốc gia.

Được chia thành 27 Trụ cột và XNUMX Mục tiêu Chiến lược, chiến lược này đưa ra tầm nhìn táo bạo trong việc bảo vệ cơ sở hạ tầng quan trọng, loại bỏ các tác nhân đe dọa, định hình các lực lượng thị trường để thúc đẩy an ninh, đầu tư vào một tương lai kiên cường và thúc đẩy quan hệ đối tác quốc tế. Nếu được thực hiện đầy đủ, chiến lược này sẽ đặt ra cho các doanh nghiệp trong không gian hợp đồng thách thức về việc tăng cường giám sát và tiêu chuẩn bảo mật cao hơn, nhưng cũng có cơ hội cạnh tranh để giành được các đơn đặt hàng và trợ cấp nhằm củng cố cơ sở hạ tầng kỹ thuật số quan trọng của quốc gia.

Chiến lược này bao gồm một số lĩnh vực được cộng đồng hợp đồng với chính phủ quan tâm, với tiềm năng tăng nguồn tài trợ cho các dự án khác nhau cũng như khả năng bổ sung quy định và thực thi.

Ví dụ, một phần thảo luận về việc sử dụng các chương trình tài trợ của liên bang để khuyến khích việc tạo ra cơ sở hạ tầng kỹ thuật số quan trọng. Một cách khác mở rộng về những cách mà chính phủ có thể “tận dụng hoạt động mua sắm liên bang để nâng cao trách nhiệm giải trình”, nhưng cũng kêu gọi tăng cường thực thi các yêu cầu bảo mật đối với các nhà cung cấp bán hàng cho Chính phủ Liên bang. Cuối cùng, một điều khoản vạch ra kế hoạch “tăng cường nghiên cứu và phát triển liên bang về an ninh mạng” thông qua nhiều trung tâm nghiên cứu và phát triển được liên bang tài trợ.

Lỗ hổng 'Ngày XNUMX'

Phần gây tranh cãi nhất yêu cầu buộc các công ty phần mềm phải chịu trách nhiệm để tạo ra mã không an toàn. Trong khi việc khai thác các lỗ hổng “Ngày số XNUMX” đã đạt mức cao nhất mọi thời đại trong những năm gần đây, dẫn đến những tác động sâu rộng trong toàn ngành và chính phủ, thì ý tưởng buộc các công ty phải chịu trách nhiệm về việc sản xuất mã không an toàn là một sự khác biệt lớn so với các quy định trước đây. Một số người đặt câu hỏi liệu chiến lược chứa đủ chi tiết để được thực hiện đầy đủ, trong khi những người khác lưu ý rằng mục tiêu này có thể định hình lại cách toàn bộ chính phủ mua sắm phần mềm.

Trong nỗ lực nhấn mạnh sự thay đổi tư duy này, Cơ quan An ninh mạng và Cơ sở hạ tầng cùng với một số đối tác quốc tế đã xuất bản Nguyên tắc bảo mật theo thiết kế và mặc định vào tháng Tư. Hướng dẫn này nhằm mục đích thúc đẩy sự thay đổi văn hóa trong cách cộng đồng công nghệ nhìn nhận phần mềm dễ bị tấn công và chuyển gánh nặng bảo mật sang các nhà sản xuất công nghệ.

Là một phần của việc triển khai cách suy nghĩ mới này, Giám đốc CISA, Jen Easterly, đã lưu ý trong một bài phát biểu tại Đại học Carnegie Mellon rằng khái niệm Bảo mật theo thiết kế và -Mặc định nhằm mục đích chuyển gánh nặng khỏi người tiêu dùng và doanh nghiệp nhỏ sang các công ty công nghệ lớn. Điều này có nghĩa là nếu được triển khai đầy đủ, các công ty công nghệ lớn như Microsoft và Google sẽ chịu trách nhiệm cao hơn so với các nhà thầu chính phủ thông thường, đặc biệt là các công ty được phân loại là doanh nghiệp nhỏ.

Việc chuyển đổi gánh nặng trách nhiệm đang gây tranh cãi vì cho đến thời điểm này, các công ty phát triển phần mềm lớn đều cho rằng nếu tiếp tục xác định và vá các lỗ hổng, họ sẽ miễn nhiễm với hầu hết các hậu quả tiêu cực. Trên thực tế, Microsoft đã thể chế hóa ý tưởng thường xuyên phát hành các bản cập nhật và sửa lỗi cho phần mềm của họ đến mức “Patch Tuesday” đã trở thành một sản phẩm chủ lực trong ngành kể từ năm 2003.

Tuy nhiên, khi các tác nhân đe dọa tiếp tục khai thác nhiều lỗ hổng zero-day hơn bao giờ hết, nhu cầu về phần mềm bảo mật chưa bao giờ lớn hơn thế. Năm 2021 chứng kiến ​​số lượng zero-day được khai thác lớn nhất trong lịch sử, với các diễn viên được nhà nước bảo trợ dẫn đầu. Cho đến nay vào năm 2023, Các nhóm ransomware tội phạm đã tận dụng các lỗ hổng nghiêm trọng dẫn tới hàng trăm triệu USD tiền chuộc.

Vào tháng 2023 năm XNUMX, ONCD đã xuất bản một Kế hoạch triển khai Chiến lược An ninh mạng Quốc gia đưa ra các mốc thời gian, các cơ quan chịu trách nhiệm và hướng dẫn cụ thể cho nhiều mục tiêu đặt ra trong chiến lược. Ví dụ, kế hoạch này giao cho Văn phòng Quản lý và Ngân sách chịu trách nhiệm thực hiện các thay đổi trong Quy định Mua lại Liên bang được yêu cầu theo Đơn hàng 14028 vào quý đầu tiên của năm tài chính 24, đồng thời kêu gọi Văn phòng Chính sách Khoa học và Công nghệ hợp tác với nhiều cơ quan tài trợ khác nhau để ưu tiên đầu tư vào “ngôn ngữ lập trình an toàn cho bộ nhớ”.

'An toàn theo thiết kế'

Cả hai điều khoản này đều không có nguồn tài trợ mới để thực hiện. Đáng chú ý, điều khoản “An toàn theo thiết kế” có một trong những kế hoạch triển khai yếu nhất trong toàn bộ tài liệu, kêu gọi ONCD tổ chức một hội nghị chuyên đề pháp lý trước quý 24 năm tài chính XNUMX để “khám phá các cách tiếp cận khác nhau đối với khung trách nhiệm pháp lý phần mềm”.

Cuối cùng, cách phân bổ đô la liên bang trong vài năm tài chính tới sẽ quyết định tác động thực sự của chiến lược mới và kế hoạch thực hiện. Mặc dù có vẻ như các văn phòng như ONCD và CISA đang thúc đẩy những thay đổi mạnh mẽ trong bối cảnh an ninh mạng, nhưng việc thiếu cơ quan quản lý và ngân sách có thể cản trở việc thực hiện các kế hoạch đó.

Nếu được thực hiện đầy đủ, chiến lược này sẽ có tác động tích cực đến không gian hợp đồng của chính phủ bằng cách tăng đầu tư liên bang vào phát triển công nghệ an toàn và giảm các lỗ hổng trong phần mềm chính mà tất cả các nhà thầu chính phủ sử dụng. Còn quá sớm để nói liệu tầm nhìn táo bạo về tương lai này có thực sự trở thành hiện thực hay không.

Noah Rivers là cộng tác viên nghiên cứu tại Trung tâm Hợp đồng Chính phủ Greg và Camille Baroni tại Trường Kinh doanh Đại học George Mason.

Có một ý kiến?

Bài viết này là một Op-Ed và các ý kiến ​​​​bày tỏ là của tác giả. Nếu bạn muốn phản hồi, hoặc có một bài xã luận của riêng bạn muốn gửi, xin vui lòng email C4ISRNET và Biên tập viên quản lý cấp cao của Thời báo Liên bang Cary O'Reilly.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.