หลายปีก่อนการแฮ็กของ SolarWinds ซึ่งเป็นอันตรายต่อระบบของบริษัทและหน่วยงานรัฐบาลหลายพันแห่งการแฮ็ก RSA ในปี 2011ได้ทำลายความรู้สึกปลอดภัยขององค์กรทั้งภาครัฐและเอกชนตั้งแต่นั้นมา รัฐบาลได้ใช้เวลาหลายชั่วโมงในการปรับใช้แนวทางต่างๆ มากมายในการรักษาความปลอดภัยทางไซเบอร์ ส่วนที่ 4 ในคำสั่งผู้บริหารด้านความปลอดภัยในโลกไซเบอร์ (EO) เป็นส่วนที่กำหนดไว้มากที่สุดในบรรดา EO ทั้งหมด การแก้ปัญหาโดยตรงเกี่ยวกับวิธีการให้ผู้ขายปรับปรุงความปลอดภัยของผลิตภัณฑ์ของตน
“โดยรวมแล้ว เมื่อคุณดูที่ EO ส่วนที่สำคัญที่สุดนั้นมุ่งเป้า
ไปที่การพยายามใช้ประโยชน์จากกำลังซื้อ [ของรัฐบาล] และผลักดันการเปลี่ยนแปลงบางอย่างในตลาดไอทีและความปลอดภัยทางไซเบอร์ที่เกี่ยวข้อง” ไมเคิล แดเนียล อดีตผู้ช่วยพิเศษของ ประธานและผู้ประสานงานด้านความปลอดภัยในโลกไซเบอร์ ปัจจุบันเป็นประธานและซีอีโอของ Cyber Threat Alliance “ส่วนอื่นๆ เป็นความต่อเนื่องของกระบวนการที่เกิดขึ้นเป็นเวลานานมาก – การรวมศูนย์ความปลอดภัยทางไซเบอร์ไว้ที่ฝ่ายพลเรือนของรัฐบาลกลาง และยังคง [มี] หน่วยงานน้อยลงในธุรกิจไซเบอร์”
ส่วนที่ 4 กำหนดการดำเนินการหลายอย่างที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) จะดำเนินการในการกำหนดเกณฑ์สำหรับการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ ตัวอย่างของสิ่งนี้ ได้แก่ การกำหนดแนวทาง การระบุแนวทางปฏิบัติที่ดีที่สุด และการกำหนดมาตรฐานสำหรับการปฏิบัติงาน ตัวอย่างเช่น เรียกร้องให้ผู้จำหน่ายซอฟต์แวร์จัดทำใบรายการวัสดุซอฟต์แวร์ (SBOM) ซึ่งกำหนดโดย National Telecommunications and Information Administration ว่าเป็น “รายการสินค้าซ้อนกัน ซึ่งเป็นรายการส่วนผสมที่ประกอบกันเป็นส่วนประกอบซอฟต์แวร์” รวมถึงทั้งเชิงพาณิชย์และแบบเปิด ส่วนประกอบแหล่งที่มา
Greg Touhill ผู้อำนวยการ CERT Division, Software Engineering Institute, Carnegie Mellon University และอดีตหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางในสมัยรัฐบาลโอบามากล่าวว่า “การจัดลำดับความสำคัญนั้นถือเป็นการยอมรับถึงความสำคัญ [its] “[เรา] เห็นหลักฐานมากมายว่าบางคนกำลังพัฒนาโค้ดและโพสต์ในที่ที่มีช่องโหว่ในระดับที่ยอมรับไม่ได้”
เนื่องจากอินเทอร์เน็ตของสรรพสิ่ง (IoT) กลายเป็นเรื่องธรรมดา
ไปตลอดชีวิตของชาวอเมริกัน เช่น บ้านอัจฉริยะ รถยนต์อัจฉริยะ เมืองอัจฉริยะ หรือแทบทุกอย่างที่ระบุว่า “ฉลาด” NIST และ Federal Trade Commission ได้รับมอบหมายให้ออกแบบโปรแกรมการติดฉลากผู้บริโภคสำหรับ ความปลอดภัยทางไซเบอร์ของโปรแกรมซอฟต์แวร์และอุปกรณ์ IoT และการเรียกใช้โปรแกรมนำร่องอย่างน้อยหนึ่งโปรแกรมเพื่อพิจารณาประสิทธิภาพ NIST ได้รับมอบหมายให้พิจารณาว่าจะมีฉลากแนะนำหรือระบบการจัดระดับความปลอดภัยของซอฟต์แวร์เป็นชั้นๆ หรือไม่
“คำสั่งผู้บริหารพูดถึงการมีฉลากประเภท Energy Star” Touhill กล่าว “ในท้ายที่สุด สิ่งที่เราพยายามทำตอนที่ฉันอยู่ที่ DHS คือการทำงานร่วมกับบุคคลที่สาม เช่น [Underwriters Laboratories] สำหรับโครงสร้างบางอย่าง ซึ่งคุณสามารถมีผู้ตรวจสอบบุคคลที่สามที่เป็นอิสระเพื่อยืนยันว่าซอฟต์แวร์ได้รับการพัฒนาตามมาตรฐานความปลอดภัยและเป็นไปตามวุฒิภาวะบางประการ โมเดล … ฉันชอบที่พวกเขากำลังจะลองนักบิน ไม่ใช่ [ตลาด] ทั้งหมด ฉันชอบที่จะมีการบินเพื่อดูว่าอะไรดีที่สุด”
กระทรวงความมั่นคงแห่งมาตุภูมิทำงานร่วมกับกระทรวงกลาโหม กระทรวงยุติธรรม และสำนักงานบริหารและงบประมาณ มีเวลาหนึ่งปีในการเสนอแนะต่อสภาควบคุมการได้มาซึ่งกฎหมายของรัฐบาลกลาง (FAR) ซึ่งกำหนดให้ซัพพลายเออร์ซอฟต์แวร์สำหรับหน่วยงานรัฐบาลปฏิบัติตามมาตรฐาน ระบุไว้ในส่วนที่ 4 หวังว่าการเปลี่ยนแปลงเหล่านี้จะกระเพื่อมไปทั่วตลาดซอฟต์แวร์เชิงพาณิชย์ด้วย
“ผู้ให้บริการซอฟต์แวร์จะไม่พูดว่า ‘ฉันจะทำการพัฒนาที่ปลอดภัยสำหรับภาครัฐ แต่ไม่ใช่ของเอกชน’” แดเนียลกล่าว
อาจผลักดันความพยายามนั้นให้มากยิ่งขึ้น EO มีฟัน: ซอฟต์แวร์ที่ไม่ตรงตามมาตรฐานความปลอดภัยทางไซเบอร์ใหม่จะถูกลบออกจากสัญญาหลายรางวัล รวมถึง Federal Supply Schedules สัญญาการจัดหาของรัฐบาลและเครื่องมืออื่น ๆ ทั่วทั้งรัฐบาล
หน่วยงานต่างๆ ก็ไม่รอดพ้นจากการตรวจสอบอย่างเฉียบคมเช่นกัน ผู้ที่ไม่ปฏิบัติตามข้อกำหนดเฉพาะ เช่น การสร้างการรับรองความถูกต้องด้วยหลายปัจจัยและการเข้ารหัสข้อมูลที่เหลือและอยู่ระหว่างการส่ง จะต้องขอการยกเว้น การสละสิทธิ์จะไม่เกิดขึ้นโดยอัตโนมัติ จะเกิดขึ้นในช่วงเวลาจำกัด และมีเงื่อนไขว่าต้องมีแผนเพื่อลดความเสี่ยงที่อาจเกิดขึ้นในขณะที่มีการแก้ไขข้อบกพร่อง
“มีความรับผิดชอบมากมายที่นี่ หากคุณต้องขอสละสิทธิ์ ให้ส่งเรื่องไปที่แอนน์ นอยเบอร์เกอร์ รองผู้ช่วยประธานาธิบดี สิ่งเหล่านี้เป็นสิ่งที่เข้ามาใน OMB และสภาความมั่นคงแห่งชาติ” คาเรน อีแวนส์ อดีต CIO ของรัฐบาลกลางในสมัยรัฐบาลจอร์จ ดับเบิลยู บุช กล่าว . “สิ่งเหล่านี้เป็นสิ่งที่ทุกคนควรทำอยู่แล้ว – อยู่ในสิ่งพิมพ์ของ NIST”
ตารางกำหนดเวลาที่เกี่ยวข้องที่กำหนดไว้ในส่วนที่ 4
