تعمل حكومة الولايات المتحدة على تجديد سياسات الأمن السيبراني الخاصة بها. وهذا يشمل الافراج عن إطار عمل تطوير البرمجيات الآمن (SSDF) الإصدار 1.1 بواسطة المعهد الوطني للمعايير والتكنولوجيا (NIST)، والذي يهدف إلى تقليل الثغرات الأمنية عبر دورة حياة تطوير البرمجيات (SDLC).
توفر هذه الوثيقة لبائعي البرامج ومشتريها "مجموعة أساسية من ممارسات تطوير البرمجيات الآمنة عالية المستوى والتي يمكن دمجها في كل تطبيق لـ SDLC."
نُشرت مسودة أولية لإطار العمل في سبتمبر 2021، وتلاها الإصدار النهائي في فبراير 2022، والذي احتوى فقط على تحديثات بسيطة. يجمع SSDF بين توصيات أفضل الممارسات لأمان SDLC مع الحفاظ على قابليته للتخصيص وحيادية القطاع.
إنها ليست وثيقة تحدد منهجيات ثابتة لكل ممارسة. وبدلاً من ذلك، فهو يركز على النتائج بدلاً من أدوات وتقنيات وآليات محددة. يشجع صندوق تطوير القطاع الخاص (SSDF) النهج القائم على المخاطر، حيث يتم تشجيع المنظمات على استشارة المراجع والموارد الأخرى لتحديد الممارسات ذات الصلة بعملياتها وكيفية تنفيذها.
يتضمن SSDF توصيات في المجالات التالية:
- التأكد من أن موظفي المؤسسة وعملياتها وتقنياتها مستعدون لتطوير البرمجيات بشكل آمن
- حماية جميع مكونات البرنامج من العبث و/أو الوصول غير المصرح به
- إطلاق برامج آمنة مع الحد الأدنى من الثغرات الأمنية
- تحديد أي نقاط ضعف بعد الإصدار والاستجابة لها بشكل مناسب
التوصيات تتحول بسرعة إلى توجيهات
بالشراكة مع القطاع الخاص، تم توجيه NIST لإنشاء SSDF بواسطة الأمر التنفيذي 14028، "تحسين الأمن السيبراني للأمة." يوجه الأمر أيضًا مكتب الإدارة والميزانية (OMB) إلى، في غضون 30 يومًا من صدوره، "اتخاذ الخطوات المناسبة لمطالبة الوكالات بالامتثال لهذه الإرشادات فيما يتعلق بالبرامج التي تم شراؤها بعد تاريخ هذا الطلب."
في مارس شنومكسth، 2022، أصدر مكتب الإدارة والميزانية بيانا تضمن ما يلي، “يجب أن تبدأ الوكالات الفيدرالية في اعتماد SSDF والإرشادات ذات الصلة بشكل فعال على الفور، وتكييفها وفقًا لملف تعريف مخاطر الوكالة ومهمتها.
لذلك، في حين أن SSDF عبارة عن قائمة من التوصيات، إلا أنه يجب أن تتبعها جميع المنظمات التي تزود الحكومة الأمريكية بالبرمجيات. على الرغم من أنه ليس شرطًا قانونيًا لجميع عمليات تطوير البرامج، إلا أن SSDF لا يزال يمثل خطوة كبيرة في سياسة الأمن السيبراني الأمريكية.
ونظرًا للقدرة الشرائية لحكومة الولايات المتحدة، باعتبارها مستهلكًا هائلاً للبرامج الخارجية، فمن المفترض أن تصل هذه التوصيات إلى بقية الصناعة، لتصبح المعيار لتطوير البرمجيات في الولايات المتحدة. ونتيجة لذلك، فإن أي منظمة تفكر في التقدم بطلب للحصول على حكومة الولايات المتحدة يجب العقود تعلم كيفية الالتزام بـ SSDF, ومن المرجح أن تحتاج أي منظمة تتطلع إلى العمل بنجاح في الولايات المتحدة إلى الامتثال أيضًا.
مذكرة مكتب الإدارة والميزانية بشأن أولويات الأمن السيبراني
إن SSDF ليس التطور الجديد الوحيد في سياسة الأمن السيبراني الأمريكية. طلبت حكومة الولايات المتحدة مؤخرا من الوكالات التأكيد على أولويات جديدة، بما في ذلك تنفيذ نهج الثقة المعدومة وتحديث أنظمة تكنولوجيا المعلومات القديمة.
بناءً على الأمر التنفيذي رقم 14028، أصدر مكتب الإدارة والميزانية ومكتب المدير السيبراني الوطني (ONCB) بيانًا مذكرة في July 22nd، 2022، والذي يحدد أولويات الاستثمار السيبراني عبر الوكالات للحكومة الأمريكية لتقديم الميزانية في السنة المالية 2024.
وهو يحدد ثلاث أولويات يجب على وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) الاستثمار فيها. وسيقوم مكتب الإدارة والميزانية وONCD بمراجعة استجابة كل وكالة وتقديم تعليقات لضمان "يتم التعامل مع الأولويات بشكل مناسب ومتسق مع استراتيجية وسياسة الأمن السيبراني الشاملة - مما يساعد التخطيط متعدد السنوات للوكالات من خلال عملية الميزانية العادية."
الأولويات الثلاث للاستثمار السيبراني هي:
رقم 1: تحسين دفاع ومرونة الشبكات الحكومية
تطلب المذكرة من وكالات FCEB تحديد الأولويات تنفيذ الثقة صفر تحديث تكنولوجيا المعلومات.
يصف نموذج أمان الثقة المعدومة تنفيذ أنظمة تكنولوجيا المعلومات حيث لا يتم الوثوق بكل مستخدم أو جهاز افتراضيًا. يتم التحقق من البنى النموذجية مرة واحدة، ثم تسمح للمستخدمين أو الأجهزة بالوصول إلى الشبكة. في المقابل، تتحقق بنيات الثقة المعدومة من أي شيء وكل شيء داخل النظام.
تم توضيح استراتيجية الثقة المعدومة الفيدرالية في حد ذاتها مذكرة مكتب الإدارة والميزانية، صدر في 26 ينايرth، 2022. وتتطلب الاستراتيجية من جميع الجهات الحكومية الوصول إلى أهداف الثقة الصفرية المحددة بحلول نهاية السنة المالية 2024.
ويأمل "تحقيق خط أساس متسق على مستوى المؤسسة للأمن السيبراني يرتكز على مبادئ الامتيازات الأقل، وتقليل سطح الهجوم، وتصميم وسائل الحماية على افتراض أنه ينبغي اعتبار محيط الوكالة معرضًا للخطر".
يعد هذا تحولًا مهمًا للوكالات الحكومية - حيث يتعين عليها من الآن فصاعدا تحليل جميع البرامج التي تستخدمها (سواء تم إنشاؤها داخليًا أو تم الحصول عليها من مورد خارجي) للتأكد من أنها تلبي متطلبات أمان الثقة المعدومة.
يشير تحديث تكنولوجيا المعلومات إلى العدد الكبير من الأنظمة القديمة التي تستخدمها الوكالات الحكومية والديون الفنية التي تتكبدها. عروض الموازنة لعام 2024"ينبغي إعطاء الأولوية لتحديثات التكنولوجيا التي تؤدي إلى دمج الأمان أثناء مرحلة التصميم، وكذلك طوال دورة حياة النظام.
هذا يتضمن:
- تسريع اعتماد البنية التحتية السحابية الآمنة التي تستفيد من بنية الثقة المعدومة
- نشر المنتجات والخدمات والمعايير الفيدرالية المشتركة لتمكين تجارب العملاء الآمنة
- استخدام تقنيات الأمان المشتركة والتفاعل مع برنامج التشخيص المستمر والتخفيف التابع لوزارة الأمن الداخلي
- تبادل الوعي بين فرق عمليات الأمن وتكنولوجيا المعلومات
- استخدام ممارسات التطوير Agile ودمج SSDF
#2: تعميق التعاون بين القطاعات للدفاع عن البنية التحتية الحيوية
وسوف تتطلب الحماية من التهديدات السيبرانية الحديثة قدراً كبيراً من التعاون بين القطاعين العام والخاص. يطلب مكتب الإدارة والميزانية من FCEB بناء شراكات من خلال إعطاء الأولوية لمسؤوليات وكالة إدارة مخاطر القطاع (SRMA) وتبادل المعلومات من خلال مراكز الأمن السيبراني.
يجب على الوكالات إعطاء الأولوية لأساليب وآليات البناء التي تسهل التعاون مع مالكي البنية التحتية الحيوية من أجل التخفيف من التهديدات المحتملة. يجب على SRMAs أيضًا تقديم طلبات الميزانية التي "تعكس الموارد الكافية للوفاء بمسؤولياتهم بموجب المادة 9002 من قانون تفويض الدفاع الوطني لعام 2021."على وجه التحديد، يجب أن تكون المشاركات:
- السماح لـ SRMAs بالتعاون الوثيق مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA) وغيرها من SRMAs
- تمكين الحكومة والصناعة من تبادل المعلومات
- تحسين فهم مخاطر الأمن القومي لكل قطاع
#3: تعزيز أسس مستقبلنا الرقمي
تطلب الأولوية النهائية من FCEB إعطاء الأولوية لمخاطر البنية التحتية المادية ورأس المال البشري وسلسلة التوريد مع خضوع المزيد من الاقتصاد الأمريكي للتحول الرقمي.
- البنية التحتية الطبيعية
يمثل قانون الاستثمار في البنية التحتية والوظائف (IIJA) الأخير استثمارًا ضخمًا من قبل حكومة الولايات المتحدة. يطلب مكتب الإدارة والميزانية من وكالات FCEB دعم أي جهود لتأمين البنية التحتية من الهجمات السيبرانية. ويشمل ذلك تطوير معايير الأمن السيبراني وتقديم الدعم الفني للمشاريع الجديدة.
- رأس المال البشري
ولمواجهة التهديدات السيبرانية، يتم تشجيع الوكالات على الاستثمار في مواهب تكنولوجيا المعلومات والأدوات الجديدة التي تعزز الكفاءة الرقمية عبر القوى العاملة على نطاق أوسع.
- مخاطر سلسلة توريد البرمجيات
أمن سلسلة توريد البرمجيات أصبح خطرًا متزايدًا على الأمن السيبراني. ونتيجة لذلك، يُطلب من الوكالات الفيدرالية حاليًا إنشاء مبادرات لإدارة مخاطر سلسلة التوريد (SCRM) أثناء عمليات الاستحواذ، خاصة تلك العاملة في مجال تكنولوجيا المعلومات والاتصالات وخدماتها (ICTS). وبينما من المقرر أن ينتهي هذا المطلب في نهاية عام 2023، إلا أن هناك التشريع معلق والذي سيمتد إلى عام 2026.
ومن المتوقع أن تحافظ الوكالات على استثمارات SCRM في العام الماضي وأن تستهدف موارد جديدة. بالإضافة إلى بناء قدرات الاستحواذ لدى الحكومة الفيدرالية، تلعب الحكومة أيضًا دورًا مهمًا في معالجة مخاطر سلسلة التوريد الوطنية لتكنولوجيا المعلومات والاتصالات.
تنص مذكرة مكتب الإدارة والميزانية على ما يلي: "في عروض ميزانية السنة المالية 2024، يجب على الوكالات تسليط الضوء على الاستثمارات التي تدعم الجهود الوطنية للتخفيف من مستويات المخاطر غير المبررة أو غير المقبولة على الأمن الاقتصادي والأمن القومي للولايات المتحدة.وهذا يشمل الاستثمارات المتعلقة الأمر التنفيذي 13873"تأمين تكنولوجيا المعلومات والاتصالات وسلسلة توريد الخدمات."
إن سياسة الأمن السيبراني في الولايات المتحدة تتحرك بسرعة؛ هل أنت مجهز لمواكبة؟
ومع تزايد متطلبات الأمن السيبراني، يجب على شركات تطوير البرمجيات التي تتطلع إلى العمل في الولايات المتحدة التأكد من قدرتها على التكيف بنجاح مع المبادئ التوجيهية الجديدة.
لقد دخل إطار SSDF حيز التنفيذ بالفعل، وتحتاج المؤسسات إلى معرفة إرشادات تطوير البرامج الجديدة التي من المتوقع أن تتبعها. يشجع SSDF مجموعة من التدابير التي تقلل من التعرض لنقاط الضعف والوصول غير المصرح به في جميع أنحاء SDLC مع تشجيع الشفافية أيضًا. هذا يتضمن:
- التحقق من صحة القطع الأثرية
- التوقيع الرقمي على التحف
- تتبع الملفات للتغييرات وتوليد الأدلة
- التحقق من صحة كل مكون داخل قطعة البرنامج النهائية
إن أحدث مذكرة لمكتب الإدارة والميزانية بشأن أولويات الاستثمار السيبراني لا تعيد التأكيد على اعتماد صندوق تطوير الدفاع والأمن فحسب، بل تحدد أيضًا مجموعة من الأولويات للوكالات الحكومية. والأكثر أهمية بالنسبة لمطوري البرامج هو تنفيذ بنية الثقة المعدومة عبر البرامج التي يستخدمها FCEB. تدخل هذه المذكرة حيز التنفيذ في عام 2024، لذا فإن المؤسسات التي تحتاج إلى تكييف منتجاتها ليس لديها الكثير من الوقت للاستعداد.
في حين أن المتطلبات الجديدة التي حددتها مذكرة مكتب الإدارة والميزانية تنطبق فقط على المنظمات التي تتطلع إلى الحصول على عقود مع وكالات FCEB، فإن اتجاه السفر يشير إلى أنه من المحتمل اعتماد إرشادات جديدة للأمن السيبراني لجميع المقاولين الفيدراليين، على النحو المبين في الأمر التنفيذي رقم 14028.
إن المنظمات التي تتباطأ في التكيف تخاطر بخسارة أعمال من حكومة الولايات المتحدة وربما عملاء أمريكيين آخرين. حان الوقت الآن لتطبيق نموذج أمان الثقة المعدومة والتعرف على أفضل ممارسات SSDF.
الملخص
تُظهر حكومة الولايات المتحدة تقدمًا كبيرًا إلى الأمام عندما يتعلق الأمر بسياسة الأمن السيبراني. مع تطبيق SSDF بالفعل ودخول الأولويات السيبرانية الجديدة لـ OMB حيز التنفيذ في عام 2024، فإن المنظمات التي تتطلع إلى مواصلة العمل في الولايات المتحدة لديها العديد من الإرشادات الجديدة للتعلم والامتثال لها.
يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.
الوظائف ذات الصلة
