באחד מפעולותיו הרשמיות האחרונות כנשיא, ג'ו ביידן הוציא ביום חמישי צו ביצוע חדש חזק (EO) שמטרתו לחזק את אבטחת הסייבר הלאומית. ההנחיה הגורפת מציגה אסטרטגיה מקיפה להתמודדות עם אתגרי הזהות הדיגיטלית הרב-גונית של אבטחת סייבר, פרטיות ואימות.
ה-EO מתבסס על צו הביצוע של ביידן ב-12 במאי 2021,שיפור אבטחת הסייבר של המדינה, והיוזמות שפורטו באסטרטגיית אבטחת סייבר לאומית.
הַרבֵּה, ה-EO מורה לסוכנויות הפדרליות המנפקות מענקים לשקול מדינות תומכות בפיתוח רישיונות נהיגה ניידים (mDLs), תוך קביעה כי אישורים אלה אינם אמורים לאפשר מעקב או מעקב אחר אינטראקציות בהן נעשה שימוש במזהה הדיגיטלי.
על ידי חיזוק שרשראות אספקת התוכנה, שיפור ניהול זהויות, מינוף טכנולוגיות מתפתחות וטיפוח שיתוף פעולה, ה-EO החדש שואף להגן על התשתית הדיגיטלית של המדינה מפני איומים מתפתחים ולהגן על האבטחה והפרטיות של האמריקאים בעולם יותר ויותר מחובר.
ה-EO מזהיר כי "מדינות יריבות ופושעים ממשיכים לנהל מסעות סייבר המכוונים לארצות הברית ולאמריקאים", וכי "הרפובליקה העממית של סין מהווה את איום הסייבר הפעיל והמתמשך ביותר לממשלת ארצות הברית, למגזר הפרטי, ורשתות תשתית קריטיות".
ביידן אמר, "קמפיינים אלה משבשים את אספקת השירותים הקריטיים ברחבי המדינה, עולים מיליארדי דולרים ומערערים את הביטחון והפרטיות של האמריקאים. יש לעשות יותר כדי לשפר את אבטחת הסייבר של המדינה נגד האיומים הללו".
מרכזי ביום חמישי של ביידןצו ביצוע על חיזוק וקידום חדשנות באבטחת הסייבר של המדינההוא זיהוי של נקודות תורפה בשרשראות אספקת תוכנה של צד שלישי. מערכות פדרליות ותשתיות קריטיות מסתמכות לעתים קרובות על תוכנות מספקים חיצוניים, שחלקם לא מצליחים לטפל בפגמי אבטחה ידועים, וחושפים את המערכות הללו לניצול. כדי להפחית סיכון זה, ה-EO מחייב נוהלי פיתוח תוכנה מאובטחים מחמירים.
בתוך 30 יום מרגע החתימה על ה-EO החדש, על המשרד לניהול ותקציב, בתיאום עם המכון הלאומי לתקנים וטכנולוגיה (NIST) וסוכנות הסייבר לאבטחת תשתיות (CISA), להמליץ על שפת חוזה המחייבת ספקי תוכנה להגיש אבטחה מאובטחת. אישורי תוכנה למאגר מרכזי המנוהל על ידי CISA. מאגר זה יכלול אישורים הניתנים לקריאה במכונה, חפצים ברמה גבוהה ורשימת לקוחות פדרליים. מועצת הפיקוח הפדרלית (מועצת FAR) מוטלת על יישום מהיר של דרישות אלה, תוך שימת דגש על שקיפות ואחריות באבטחת תוכנה.
כדי ליישם את הרפורמות הללו, צו הביצוע קובע לוחות זמנים ברורים וצעדים ניתנים לפעולה עבור סוכנויות פדרליות ובעלי עניין במגזר הפרטי. למשל, על שר המסחר, באמצעות NIST, מוטלת המשימה לעדכן את מסגרת פיתוח התוכנה המאובטחת כך שתכלול הנחיות מפורטות לגבי אספקת תוכנה מאובטחת ותפעול. באופן דומה, מועצת FAR מעודדת לאמץ כללי ביניים כדי להבטיח ציות. אמצעים אלה יצמצמו את פגיעויות התוכנה ויקבעו נוהלי ניהול סיכונים קפדניים של צד שלישי.
בעוד ששיטות פיתוח תוכנה מאובטחות מהוות מרכיב קריטי ביוזמה זו, הן אינן יכולות בעצמן להפחית את האיומים המתקדמים הנשקפים על ידי גורמים במדינת לאום. מתוך הכרה בכך, ה-EO קורא ליכולות זיהוי ותגובה משופרות של נקודות קצה ברחבי סוכנויות אזרחיות פדרליות.
בתוך 180 ימים מרגע הנפקת ה-EO של ביידן, על CISA, בתיאום עם קצין המידע הראשי הפדרלי ומועצות קצין אבטחת המידע הראשי, לפתח פרוטוקולים לגישה לנתוני טלמטריה של נקודות קצה. גישה זו תאפשר ציד איומים, זיהוי חריגות ותגובות מתואמות לקמפיינים סייבר המכוונים לסוכנויות מרובות. כדי לשמור על פרטיות ושלמות, פעילויות אלו יתאימו לעקרונות של "הרשאות הקטנות ביותר" ויפעילו בקרות גישה חזקות.
אימות וניהול זהויות עומדים כעמודי התווך של אבטחת סייבר. הצו מדגיש את החשיבות של אימוץ מנגנוני אימות עמידים להתחזות, כגון WebAuthn, במערכות פדרליות. בהתבסס על פריסות קודמות, סוכנויות מכוונות לבצע ניסוי של טכנולוגיות אלה כדי ליישר אסטרטגיות ארוכות טווח עבור זהות, אישורים וניהול גישה. ההנחיה גם מדגישה את הצורך בניהול מאובטח של מפתחות קריפטוגרפיים ומציעה הנחיות מעודכנות לשימוש בהם בסביבות ענן. אמצעים אלה מטרתם לסכל גישה בלתי מורשית ולחזק את האמון באינטראקציות דיגיטליות.
ה-EO מתייחס גם לאבטחת התקשורת הפדרלית. סוכנויות נדרשות ליישם פרוטוקולים מוצפנים של מערכת שמות דומיין ולהבטיח העברה מאובטחת של דואר אלקטרוני כברירת מחדל. אמצעים אלה מגנים על סודיות ושלמות התקשורת הממשלתית מפני יירוט ושיבול. יתרה מכך, הצו מחייב אבטחה משופרת עבור פלטפורמות ועידות קול ווידאו, הדוגל בהצפנה מקצה לקצה תוך שמירה על עמידה בדרישות ניהול רשומות פדרליות.
ה-EO מציין כי מחשוב קוונטי מהווה סיכונים משמעותיים למערכות קריפטוגרפיות קיימות. לפיכך, ה-EO מתאר תוכנית מעבר לתקני הצפנה פוסט-קוונטי (PQC), המבטיחה שמערכות פדרליות יישארו עמידות בפני מחשבים קוונטיים רלוונטיים מבחינה קריפטית. סוכנויות נדרשות לתעדף טכנולוגיות מוכנות ל-PQC ולשתף פעולה עם שותפים בינלאומיים כדי לעודד אימוץ גלובלי. גישה צופה פני עתיד זו מבקשת למנוע פגיעויות עתידיות תוך שמירה על התחרותיות של הטכנולוגיה האמריקאית.
תוכנת קוד פתוח, אבן היסוד של המחשוב המודרני, היא מוקד נוסף של צו הביצוע. בעוד שהשימוש בו מציע חדשנות ויתרונות עלות, הוא גם מציג סיכונים ייחודיים. ה-EO מורה לסוכנויות הפדרליות לנהל טוב יותר את ההסתמכות שלהן על תוכנת קוד פתוח על ידי אימוץ הערכות אבטחה, החלת תיקונים בזמן ותרומה למערכת האקולוגית הרחבה יותר של אבטחת הסייבר. פעולות אלו מטרתן לשפר את האבטחה והחוסן של תוכנת קוד פתוח תוך שמירה על היתרונות שלה.
ההוראה המבצעת מחייבת עוד תוכניות מחקר ופיילוט לרתום AI לזיהוי איומים, ניהול פגיעות ותגובה אוטומטית. על ידי תעדוף מערכי נתונים להגנת סייבר וקידום תכנוני מערכות AI מאובטחות, ההנחיה מבקשת למנף את הפוטנציאל של AI תוך התייחסות לסיכונים שלה, כולל יצירת קוד לא מאובטח וניצול פגיעויות AI על ידי יריבים.
כדי להילחם בפשעי סייבר והונאות, הוראת הביצוע שם דגש על מערכות זהות דיגיטליות מאובטחות. סוכנויות פדרליות מעודדות לקבל mDLs ומסמכי זהות דיגיטליים אחרים, בתנאי שהם דבקים בעקרונות של פרטיות, יכולת פעולה הדדית ומזעור נתונים. על ידי הפעלת שירותי אימות "כן/לא", הממשלה יכולה לשפר את אימות הזהות תוך שמירה על פרטיות המשתמש. תוכניות פיילוט יחקרו טכנולוגיות להתריע בפני אנשים על שימוש לרעה בזהות, ויאפשרו להם למנוע עסקאות הונאה.
ה-EO מתמודד גם עם אבטחת הסייבר של מערכות חלל, אשר ממלאות תפקיד קריטי יותר ויותר בביטחון הלאומי ובתשתית העולמית. על סוכנויות פדרליות מוטלת המשימה לעדכן את דרישות החוזים עבור מערכות החלל האזרחיות כדי לכלול אמצעי אבטחת סייבר חזקים. דרישות אלו כוללות מנגנוני שליטה ובקרה מאובטחים, זיהוי חריגות ונהלי פיתוח תוכנה מאובטחים. בנוסף, מערכות הקרקע הפדרליות בחלל יעברו סקירה מקיפה כדי לזהות פערים ולשפר את ההגנות.
לאורך הוראת הביצוע, שקיפות ושיתוף פעולה הם נושאים שחוזרים על עצמם. סוכנויות פדרליות חייבות לשתף מידע אבטחת סייבר זו עם זו ועם שותפים במגזר הפרטי כדי ליצור הגנה קולקטיבית. ה-EO מקים קבוצות עבודה לטכנולוגיות ספציפיות, כגון פתרונות זיהוי ותגובה של נקודות קצה, המבטיחים שסוכנויות וספקים יתאימו לשיטות העבודה המומלצות. יתר על כן, היא מעודדת שיתוף פעולה בינלאומי לטיפול באיומי סייבר גלובליים, מתוך הכרה בכך שאבטחת סייבר חוצה גבולות לאומיים.
יישום הוראת הביצוע אמור להיות מונחה על ידי פיקוח קפדני והערכה מתמשכת. על מנהל הסייבר הלאומי, בתיאום עם CISA ובעלי עניין אחרים, מוטלת המשימה לפקח על הציות ולחשוף את התוצאות בפומבי. אחריות זו נועדה להבטיח שהאמצעים המתוארים ב-EO יתורגמו לשיפורים מוחשיים באבטחת הסייבר.
נושאי מאמר
|||||||
