Что считается «критическим» программным обеспечением в Указе Байдена о кибербезопасности?

По указанию президента Байдена Национальный институт стандартов и технологий недавно выпустил обновленное определение «критических» программных компонентов, которые обычно встречаются в цепочках поставок. Но, по словам одного эксперта по кибербезопасности, в этой формулировке обнаружено любопытное упущение.

Предлагая, какие аспекты технологии кибербезопасности следует включить в начальную фазу реализации распоряжения администрации о проверке и обеспечении безопасности критически важных цепочек поставок в стране, NIST исключает встроенное программное обеспечение и компоненты прошивки, отмечает Эрик Гринвальд, генеральный советник поставщика Finite State. систем безопасности подключенных устройств.

Признавая, что такие компоненты часто являются «критически важными» для защиты I.T. Тем не менее, NIST предполагает, что они слишком сложны по своей природе, чтобы включать их в начальную фазу внедрения усилий администрации.

NIST утверждает, что согласовал свое определение с вкладом многих других агентств, в том числе Агентства по кибербезопасности и безопасности инфраструктуры (CISA), Управления управления и бюджета, Управления директора национальной разведки и Агентства национальной безопасности. CISA, входящая в состав Министерства внутренней безопасности, будет опираться на результаты исследований NIST для разработки собственного списка категорий программного обеспечения, которые подпадают под первую фазу обзора.

Заявление NIST о том, что встроенное программное обеспечение и микропрограммы - базовые низкоуровневые элементы управления для аппаратного обеспечения устройства - слишком сложны для немедленного рассмотрения, содержится в ответе на «часто задаваемые вопросы». Но Гринвальд говорит, что озадачен этим кратким заявлением.

«Я не знаю, что они имеют в виду», - говорит он, утверждая, что определение NIST может иметь эффект исключения действительно критических элементов, таких как межсетевые экраны, «просто потому, что они находятся на устройствах, а не в облаке».

Гринвальд понимает, что NIST может предпочесть изначально не включать программное обеспечение, встроенное в набор микросхем устройства. «Но когда вы говорите об операционной системе или программном обеспечении прикладного уровня, мне не имеет смысла исключать это из категории. Трудно понять, как они могут провести значимое различие между программным обеспечением устройства и прошивкой ».

«Сложность» не оправдывает различие, - говорит он. «Я бы сказал, что чем он сложнее, тем важнее применять к нему повышенные стандарты безопасности».

Гринвальд признает, что возможная мотивация для NIST провести черту во встроенном программном обеспечении и встроенном ПО - это желание «не откусить больше, чем они могут проглотить» на начальном этапе реализации указа. Заходя слишком далеко в своем определении того, что является критически важным программным обеспечением, агентство рискует отговорить частные технологические компании от участия в государственных закупках. Тем не менее, по его словам, это не законная причина для исключения этого класса программного обеспечения из числа ранних этапов разработки.

Кому-то это различие может показаться академическим, но оно лежит в основе того, каким поставщикам технологий можно доверять, чтобы они поставляли ключевые системы безопасности как правительству, так и частному сектору. Министерство обороны недавно ужесточило свои собственные стандарты закупок, выпустив Сертификат модели зрелости кибербезопасности. CMMC требует, чтобы подходящие подрядчики получали сторонние сертификаты, чтобы продавать свое программное обеспечение Министерству обороны США.

Гринвальд видит возможность введения режима, который мгновенно охватит сотни тысяч подрядчиков в рамках строгой инициативы по соблюдению требований. «Есть вопросы о том, кто именно должен подвергаться этому», - говорит он. «Недостаток ясности - дьявол».

Но отсутствие ясности также беспокоит Гринвальда, когда дело доходит до очевидного отклонения NIST встроенного программного обеспечения и фирм как критических элементов, требующих немедленного внимания со стороны недавно назначенной целевой группы Байдена по сбоям в цепочке поставок. Он надеется, что агентство скоро прояснит свои намерения или что CISA решит включить спорную категорию в свой окончательный список применимого программного обеспечения.

Тем не менее, если оба агентства продолжат пропускать эти компоненты для первой фазы указа, «Я совершенно уверен, что они будут включены во вторую фазу», - говорит Гринвальд. Их полное исключение серьезно поставит под угрозу усилия по защите систем от любых киберугроз.