Am 12. Mai 2021 veröffentlichte Präsident Biden eine Durchführungsverordnung (EO) zur Verbesserung des Ansatzes der Bundesregierung zur Cybersicherheit. Warum sollten sich IT-Experten für dieses Dokument interessieren? Zum einen werden die in diesem EO beschriebenen Initiativen Auswirkungen darauf haben, wie Bundesbehörden IT zur Erfüllung ihrer Aufgaben einsetzen. Diese neuen Richtlinien werden unweigerlich zum neuen Standard für alle IT-Organisationen.
Das ist das Ziel des EO:
Die Bundesregierung muss ihre Bemühungen verstärken, diese Handlungen und Akteure zu erkennen, abzuschrecken, zu schützen, aufzudecken und darauf zu reagieren.
Lassen Sie uns die wichtigsten Punkte der Ausführungsverordnung durchgehen.
1. Beseitigung von Hindernissen für die Weitergabe von Bedrohungsinformationen
Diese Initiative soll sicherstellen, dass Auftragnehmer, Dienstleister und Bundesbehörden Informationen über Cybersicherheitsbedrohungen austauschen können. Im Moment ist es schwierig, Bedrohungsinformationen zwischen Behörden auszutauschen, und die Tatsache, dass jede Behörde mit jedem Anbieter Verträge abschließen kann, verkompliziert das Problem nur. Dies unterscheidet sich jedoch nicht wesentlich von dem, was in der kommerziellen Welt passiert.
Dies wird eine sehr hohe Aufsicht haben. Der Direktor des OMB (Office of Management and Budget OMB), der Verteidigungsminister, der Generalstaatsanwalt, der Sekretär für Heimatschutz und der Direktor des Nationalen Geheimdienstes werden die Anklage leiten. Sie werden die in der FAR (Federal Acquisition Regulation) und der Defense Federal Acquisition Regulation Supplement enthaltenen Bundesvertragsanforderungen überprüfen. Dann empfehlen sie Aktualisierungen der Vertragsanforderungen für die IT und OT Dienstleister, damit sie Daten leichter zwischen Behörden austauschen können.
Wenn Sie eine Regierungsbehörde unterstützen, erwarten Sie, dass sich dies auf Ihre Arbeit auswirkt.
2. Modernisierung der Cybersicherheitspolitik der Bundesregierung
Diese Initiative wird der Bundesregierung helfen, ihren Ansatz zur Cybersicherheit zu modernisieren. Es wird ein aggressiver Plan erstellt, um Agenturen zu verlagern Zero Trust-Architektur, Cloud-Dienste und zentralisierter Zugriff auf Daten. Dieser zentralisierte Zugriff bietet Analysen für alle Behörden, die Cybersicherheitsrisiken identifizieren.
Um dieses Ziel zu erreichen, wird laut Executive Order in Technik und Personal investiert. Das sind gute Nachrichten für Anbieter und Jobsuchende!
3. Verbesserung des Schutzes der Software-Lieferkette
Das übergeordnete Ziel dieser Initiative ist es, die Sicherheit und Integrität der Softwarelieferkette schnell zu verbessern. Die Priorität wird darin liegen, kritische Software zu adressieren. Die Regierung erkennt einen „dringenden Bedarf an, strengere und vorhersehbarere Mechanismen zu implementieren, um sicherzustellen, dass Produkte sicher und wie beabsichtigt funktionieren“. Dies ist eine offensichtliche Reaktion auf die Cyber-Angriff von Solar Winds.
Zu beachten ist die föderale Definition von „kritischer Software“. Um den 11. Juli herum sollten wir die Richtlinien der Regierung sehen, die Sicherheitsmaßnahmen für kritische Software umreißen. Erwarten Sie Empfehlungen zur Anwendung der Verfahren der geringsten Berechtigung, der Netzwerksegmentierung und der richtigen Konfiguration. Und Anfang nächsten Jahres werden wir auch ein IoT-Cybersicherheitskriterium für ein Verbraucherkennzeichnungsprogramm sehen.
Es wird interessant sein zu sehen, was sich noch daraus ergibt, da die Ausführungsverordnung auch erwähnt, dass man Open-Source-Software überprüfen und vertrauen kann. Auf welche unbeabsichtigten Folgen sollten wir vorbereitet sein?
4. Einrichtung eines Überprüfungsausschusses für Cybersicherheit
Der Secretary of Homeland Security und der Attorney General werden das Cyber Safety Review Board einrichten. Dieses Gremium wird bedeutende Cybervorfälle überprüfen und bewerten. Das ist aus betrieblicher Sicht gut. Es bietet der gesamten Bundesregierung einen Mechanismus, um auf Angriffe auf die IT-Infrastruktur zu reagieren.
5. Verbessern Sie die Erkennung von Cybersicherheitsschwachstellen und -vorfällen
Ziel ist es, standardisierte Incident-Response-Prozesse zu schaffen, um eine koordiniertere und zentralisiertere Katalogisierung von Incidents zu gewährleisten. Es wird ein Playbook für die Planung und Durchführung von Cybersicherheits-Schwachstellen und Maßnahmen zur Reaktion auf Vorfälle entwickelt. Dies sollte ein Standardprozess sein, und es ist gut zu sehen, dass eine Durchführungsverordnung die Grundlage dafür legt. Darüber hinaus wird an einem Endpunkt eine Initiative zur Erkennung und Reaktion (EDR) geschaffen, um aktive Cyberjagd, Eindämmung und Behebung sowie Reaktion auf Vorfälle durchzuführen.
6. Verbesserung der Ermittlungs- und Sanierungsfähigkeiten der Bundesregierung
In diesem Teil der Durchführungsverordnung dreht sich alles um die Protokollierung. Der Auftrag spricht von der Protokollierung von On-Premise-Systemen oder Dritten wie CSPs. Der Zweck einer einheitlichen Protokollierungsrichtlinie besteht darin, die Daten zu sammeln, die zur Untersuchung und Behebung von Cybersicherheitsvorfällen erforderlich sind. Besteht jedoch die Gefahr einer Überreichung der Regierung, da alle Protokollinformationen einem System zur Verfügung stehen, da die Bundesrichtlinie die Umstellung auf Cloud-Plattformen vorsieht? Diese unbeabsichtigte Konsequenz wird man im Auge behalten.
7. Nationale Sicherheitssysteme
Wir sollten a sehen Nationales Sicherheitsmemorandum bis Mitte Juli, in dem die Anforderungen für nationale Sicherheitssysteme aufgeführt sind.
Echtes Gespräch
Es ist schön zu sehen, dass die Bundesregierung der Cybersicherheit höchste Priorität einräumt. Die Durchführungsverordnung hat wirklich versucht, alles abzudecken, von detaillierten Anforderungen, die die Sicherheit der Softwarelieferkette bis hin zur Protokollierung und alles dazwischen abdecken. Das ist wichtig, denn die Bedrohungsakteure gegen unsere Regierung sind keine Drehbuchkinder, das sind andere Nationen. Letztendlich brauchen wir einen einheitlichen föderalen Ansatz, um unsere kritischen Systeme und Informationen zu schützen. Wir müssen jedoch genau auf unbeabsichtigte Folgen achten, die sich aus der Konsolidierung so vieler Daten ergeben.
Wenn Sie also für die Bundesregierung, einen Anbieter, einen MSP, CSP oder jede Art von Dienstanbieter arbeiten, sollten Sie mit diesem Dokument vertraut sein. Es ist eine Menge zu tun!
English
Arabic
Bengali
Dutch
English
French
German
Greek
Hindi
Irish
Italian
Japanese
Portuguese
Spanish
Swedish
Trackbacks / Pingbacks