O que constitui software ‘crítico’ na ordem executiva de Biden sobre cibersegurança?
Sob a orientação do presidente Biden, o Instituto Nacional de Padrões e Tecnologia publicou recentemente uma definição atualizada do que constitui componentes de software “críticos” comumente encontrados em cadeias de suprimentos. Mas, de acordo com um especialista em segurança cibernética, a linguagem revela uma omissão curiosa.
Ao propor quais aspectos da tecnologia de segurança cibernética devem ser incluídos na fase inicial de implementação da ordem executiva do governo para revisar e proteger as cadeias de suprimentos essenciais do país, o NIST exclui software embutido e componentes de firmware, observa Eric Greenwald, consultor jurídico da Finite State, um provedor de sistemas de segurança de dispositivos conectados.
Reconhecer que tais componentes são freqüentemente “críticos” para proteger a I.T. sistemas, o NIST, no entanto, sugere que eles são muito complexos por natureza para serem incluídos na fase inicial de implementação dos esforços da Administração.
O NIST afirma que coordenou sua definição com a contribuição de várias outras agências, incluindo a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA), Escritório de Gestão e Orçamento, Escritório do Diretor de Inteligência Nacional e Agência de Segurança Nacional. CISA, parte do Departamento de Segurança Interna, se baseará na descoberta do NIST para elaborar sua própria lista de categorias de software que se enquadram no escopo da primeira fase da revisão.
A afirmação do NIST de que o software e o firmware embarcados - os controles básicos de baixo nível para o hardware do dispositivo - são muito complexos para serem considerados imediatamente está contida em uma resposta às "perguntas mais frequentes". Mas Greenwald diz que está intrigado com a breve declaração.
“Não sei o que eles querem dizer com isso”, diz ele, argumentando que a definição do NIST poderia ter o efeito de excluir elementos verdadeiramente críticos, como firewalls, “simplesmente porque estão em dispositivos, e não em nuvem”.
Greenwald percebe que o NIST pode preferir não incluir inicialmente o software que está embutido em um chipset em um dispositivo. “Mas quando você está falando sobre um sistema operacional ou software de camada de aplicativo, não faz sentido para mim que você exclua isso como uma categoria. É difícil entender como eles podem estar fazendo uma distinção significativa entre o software do dispositivo e não o firmware. ”
“Complexidade” não justifica a distinção, diz ele. “Eu diria que quanto mais complexo for, mais importante será ter padrões de segurança elevados aplicados a ele.”
Uma possível motivação para o NIST limitar o software e firmware embarcados é o desejo de “não morder mais do que eles podem mastigar” na fase inicial de implementação da ordem executiva, Greenwald reconhece. Ao exagerar em sua definição do que constitui software crítico, a agência correria o risco de dissuadir empresas privadas de tecnologia de participarem de compras governamentais federais. Ainda assim, diz ele, esse não é um motivo legítimo para excluir essa classe de software da ação inicial.
A distinção pode parecer acadêmica para alguns, mas atinge o cerne de quais fornecedores de tecnologia podem ser confiáveis para fornecer sistemas de segurança essenciais para o governo e o setor privado. O Departamento de Defesa recentemente endureceu seus próprios padrões para aquisições, com a emissão de sua Certificação do Modelo de Maturidade em Segurança Cibernética. O CMMC determina que os contratados qualificados obtenham certificações de terceiros para vender seu software ao DOD.
Greenwald vê a possibilidade de instituir um regime que instantaneamente arrasta centenas de milhares de contratados em uma iniciativa de conformidade rigorosa. “Há dúvidas sobre quem exatamente deve estar sujeito a isso”, diz ele. “A falta de clareza é o diabo.”
Mas a falta de clareza também é a preocupação de Greenwald quando se trata da aparente rejeição do NIST ao software embarcado e à empresa como elementos críticos que requerem atenção imediata da recém-nomeada força-tarefa de Biden sobre interrupções na cadeia de suprimentos. Ele espera que a agência em breve esclareça sua intenção, ou que a CISA opte por incluir a categoria disputada em sua lista definitiva de software aplicável.
Ainda assim, se ambas as agências continuarem a repassar esses componentes para a fase um da ordem executiva, “estou bastante confiante de que eles serão incluídos na fase dois”, disse Greenwald. Omiti-los por completo prejudicaria seriamente os esforços para proteger os sistemas contra qualquer tipo de ameaça cibernética.
Tecnologia industrial
- O que torna um inovador?
- Usando software de ordem de serviço de manutenção
- Preparando-se para o pedido americano de compra de Biden? O software ERP pode ajudar
- Ordem Executiva de Biden amplia a necessidade de transformação digital
- Como dominar o gerenciamento de pedidos de atacado com o software certo
- Gerenciamento de processos de negócios:o que é e por que é importante
- EAM x CMMS:qual é a diferença?
- Quanto custa um software CMMS?
- 5 maneiras de o software CMMS deixar você focado no que importa
- Que software e outras ferramentas os engenheiros de PCB usam?