Im März 2023 veröffentlichte das Weiße Haus eine neue Nationale Cybersicherheitsstrategie. Die Strategie beschreibt eine Liste von fünf Säulen, die das Weiße Haus für entscheidend für die Verbesserung der Cybersicherheit für alle Amerikaner, sowohl im öffentlichen als auch im privaten Sektor, hält. Die dritte Säule befasst sich mit dem Bestreben, die Marktkräfte so zu gestalten, dass Sicherheit und Widerstandsfähigkeit verbessert werden. Ein Teil dieser Liste ist die Vorstellung, dass zu viele Softwarehersteller nicht angemessen in Cybersicherheit oder ordnungsgemäße Tests investieren und sich vertraglicher Haftung entziehen. Allzu oft findet man im Kleingedruckten von Nutzungsvereinbarungen etwas wie: „Der Lizenznehmer verpflichtet sich, den Lizenzgeber von allen Verlusten, Kosten, Ausgaben oder Haftungen (einschließlich angemessener Anwaltskosten) freizustellen und schadlos zu halten, die sich aus einer Klage eines Dritten ergeben.“ gegen den Lizenzgeber aufgrund der Nutzung der Software durch den Lizenznehmer.“ (Mehr sehen HIER)
Während größere Unternehmen über die Macht und das Geld verfügen, solche Verträge durchzusetzen, betrachtet das Weiße Haus die Software- und Hardwarehersteller als letztlich verantwortlich für die Software und Hardware, die sie produzieren. Um aus dem Strategiedokument zu zitieren: „Die Verantwortung muss bei den Stakeholdern liegen, die am besten in der Lage sind, Maßnahmen zu ergreifen, um schlechte Ergebnisse zu verhindern, und nicht bei den Endbenutzern, die oft die Folgen unsicherer Software tragen, noch beim Open-Source-Entwickler einer Komponente, die dies tut.“ in ein kommerzielles Produkt integriert ist.“
Das Weiße Haus schlägt vor, Gesetze zu entwickeln, die die Haftung für Softwareprodukte und -dienstleistungen regeln. Eine solche Haftung mag beängstigend klingen, wenn Sie ein Unternehmen sind, das sich bisher auf Schuldzuweisungen und verschleierte Nutzungsvereinbarungen verlassen hat, um genau solchen rechtlichen Problemen zu entgehen. Noch beunruhigender ist es, wenn man bedenkt, mit welcher Leichtigkeit solche Ansprüche dem amerikanischen Rechtssystem vorgelegt werden.
Um all diesen mächtigen Unternehmen ein Zugeständnis zu machen, schlägt die Strategie die Weiterentwicklung des Safe-Harbor-Rahmens vor, um diejenigen Unternehmen vor der Haftung zu schützen, die nachweisen können, dass sie alles getan haben, was sie sollten, um ihre Software zu schützen. Der Begriff „Safe Harbor“ kommt in dem Dokument nur zweimal vor. Sie fragen sich wahrscheinlich, was genau dieser vorgeschlagene Rahmen ist, woher er kommt und welche Begriffe derzeit abgedeckt sind oder abgedeckt werden sollen.
In diesem Artikel werfen wir einen Blick auf die bestehenden Safe-Harbor-Gesetze und sehen, wo sie derzeit gelten und was sie den Unternehmen bieten, die sich daran halten.
Was sind die bestehenden Safe-Harbor-Gesetze? Erkundung der Gesetze, die derzeit einen sicheren Hafen bieten
Bis heute haben mehrere Staaten eingeführt Datenmissbrauch Rechtsstreitigkeiten „Safe Harbor“-Gesetze, die einen positiven Schutz vor Haftungsansprüchen aufgrund von Datenschutzverstößen bieten, mit dem Ziel, Unternehmen zu ermutigen, proaktiv mit ihrer Cybersicherheit umzugehen. Um sich für den Safe-Harbor-Schutz zu qualifizieren, muss eine Organisation Cybersicherheitsprogramme implementieren und aufrechterhalten, die branchenweit anerkannten Best-Practice-Standards entsprechen, und in der Lage sein, zum Zeitpunkt des Verstoßes eine angemessene Einhaltung dieser Standards nachzuweisen.
Ohio war der erste Staat, der 2018 die Cybersecurity Affirmative Defense verabschiedete. Connecticut und Utah haben ihre Gesetze kürzlich im Jahr 2021 verabschiedet. Ähnliche Safe-Harbor-Gesetze wurden von mehreren anderen Staaten vorgeschlagen. Insbesondere von Iowa und New Jersey im Jahr 2020 und von Georgia und Illinois im Jahr 2021 (siehe HIER für mehr Details). Während alle diese Vorschläge Unternehmen mit Cybersicherheitsprogrammen eine positive Verteidigung bieten, hängen die genauen Bedingungen vom Staat ab. Beispielsweise sind die branchenüblichen Rahmenwerke, die in den Gesetzentwürfen von Connecticut, Ohio und Utah erwähnt werden, im Gesetzentwurf von Georgia nicht ausdrücklich aufgeführt. Das Gesetz von Georgia schreibt stattdessen einen „angemessenen“ Rahmen vor, der die Größe des Unternehmens, die Komplexität und die Sensibilität der zu schützenden Informationen berücksichtigt. Obwohl diese Strategie ein zentraler Bestandteil der Gesetze in den anderen Staaten ist, scheint im Gesetzentwurf von Georgia die Entscheidung getroffen worden zu sein, die Optionen nicht auf diese spezifischen Rahmenwerke zu beschränken.
In Bezug auf akzeptable Standards ist das SSDF des NIST heute das am weitesten verbreitete US-amerikanische Cybersicherheits-Framework (NIST800-218) und dieser Rahmen wird auch im Strategiepapier des Weißen Hauses erwähnt.
Es ist wichtig zu beachten, dass in keinem dieser Fälle der Haftungsschutz absolut ist. Safe Harbor kann nicht als Verteidigung eingesetzt werden, wenn eine Organisation von einer Bedrohung oder Schwachstelle wusste und es versäumte, rechtzeitig angemessene Maßnahmen zu ergreifen, um diese zu beheben, was zu einer Datenschutzverletzung führte. Insgesamt besteht die Idee hinter der Gesetzgebung darin, Unternehmen zu ermutigen, Best Practices anzuwenden, um sich selbst zu schützen. Wenn sie es versäumen, auch nur das von branchenweit anerkannten Best Practices geforderte Minimum zu erfüllen, können sie nicht von ihrer Verantwortung entbunden werden, wenn es unweigerlich zu einer Datenschutzverletzung kommt.
Welche Rolle spielt CISA in dieser Cybersicherheitsstrategie?
Im April 2023 veröffentlichte CISA einen neuen gemeinsamen Leitfaden für Softwaresicherheit mit dem Titel Das Gleichgewicht des Cybersicherheitsrisikos verschieben: Security-by-Design- und Default-Prinzipien. Dieser politische Leitfaden erschien etwa einen Monat nach der Veröffentlichung des Strategiepapiers des Weißen Hauses und sein Einfluss ist deutlich zu erkennen. Mit der Unterstützung mehrerer Cybersicherheitsbehörden aus der ganzen Welt möchte CISA den gleichen Ansatz verfolgen, den das Weiße Haus vorschlägt, und ihn globalisieren. Der Leitfaden zielt darauf ab, zu bekommen Wir fordern Softwarehersteller dazu auf, die Verantwortung für ihre Produkte und ihren Code zu übernehmen, indem sie radikale Transparenz nutzen und sichere Produkte entwickeln, die sowohl durch das Design als auch durch die Standardeinstellungen sicher sind.
Eine weitere nützliche Informationsebene über Ihre Komponenten ist deren Lizenz. Viele Open-Source-Komponenten verfügen über eine Lizenz, die nicht mit der kommerziellen Nutzung kompatibel ist. Es ist wichtig, sicherzustellen, dass alle Ihre Open-Source-Komponenten, auch solche, die Sie nicht selbst eingebunden haben, sondern von einer anderen Komponente eingebunden wurden, mit dem, was Sie machen möchten, im Hinblick auf ihre Lizenz kompatibel sind.
Diese grundlegenden Ideen werden im CISA-Leitfaden weiter ausgeführt, der Softwareentwicklern auch eine lange Liste umsetzbarer Empfehlungen zur Verbesserung der Sicherheit ihrer Produkte bietet.
Es ist interessant zu sehen, auf wie vielen dieser konkreten Empfehlungen sie basieren Das SSDF-Framework des NIST aber auf eine weniger freiwillige, praktischere Weise ausgedrückt. Beispielsweise heißt es in dem Leitfaden, dass Softwareentwickler die Erstellung von integrieren sollten an SBOM in ihren SDLC integrieren, um Einblick in die Komponenten ihrer Software zu ermöglichen. Obwohl die SSDF die SBOM empfiehlt, wird sie nie als klare, verbindliche Anweisung erwähnt.
Legalisierung der Verantwortungsverschiebung
Die Nationale Cybersicherheitsstrategie, oder zumindest dieser Teil davon, schlägt die Schaffung eines einheitlichen Safe-Harbor-Rahmens vor, der auf den bestehenden Landesgesetzen basiert, jedoch weitaus umfangreicher und umfassender ist. Zum einen bieten die bestehenden Gesetze lediglich Haftungsschutz im Falle einer Datenschutzverletzung. Der vorgeschlagene Rahmen würde für jede Haftung für einen Cybervorfall funktionieren, solange das strafrechtlich verfolgte Unternehmen nachweisen kann, dass es bestehende Best Practices wie das SSDF einhält.
Das vorgeschlagene Framework muss anpassungsfähig sein und sich weiterentwickeln können, um neue Sicherheitsframeworks und neue Best Practices zu integrieren, sobald diese entdeckt und implementiert werden. Die Strategie sieht vor, weiterhin in Sicherheitsoffenlegungsprogramme und in die Entwicklung zusätzlicher SBOM-Tools und Anwendungsfälle zu investieren.
Das Software-Ökosystem kann ohne eine gravierende Verantwortungsverlagerung nicht so weiter voranschreiten wie bisher. Es sollte allen, Herstellern und Anwendern gleichermaßen, klar sein, dass Sicherheit bei jedem Softwareprodukt von der ersten Idee bis zum Entwurfsstadium an oberster Stelle steht. Sicherheit sollte nicht nachträglich hinzugefügt werden, nachdem die Entwicklung abgeschlossen ist. Ohne den privaten Sektor kann die Haftungsverlagerung nicht stattfinden, und da dieser Sektor für seine Abneigung gegen hartnäckiges Eingreifen des Bundes bekannt ist, ist die Idee, ein „Zuckerbrot“ in Form einer „Frei aus dem Gefängnis kommen“-Karte anzubieten, ein guter Anreiz .
So weisen Sie die Einhaltung der Best Practices für Cybersicherheit nach
Ein Gesetz zu haben, das besagt, dass man „die Einhaltung bestehender Best Practices nachweisen muss“, ist schön und gut. Wie würden Sie dabei vorgehen? Die aktuellen US-Vorschriften und Best Practices wie das SSDF ermutigen Softwarehersteller, davon Gebrauch zu machen Bescheinigungen um ihre Lieferkette zu sichern und somit einen solchen Nachweis zu erbringen.
Attestierungen sind überprüfbare, kryptografisch signierte Beweisstücke (z. B. Dateien, Ordner, Repositories, Dateiherkunft oder Testergebnisse). Solche Beweise sollten mit einem bestimmten Umweltkontext verknüpft sein, sodass die Bescheinigung zu einem unveränderlichen Beweisstück wird, das überprüft werden kann, um die Existenz des Ereignisses oder der Akte zu beweisen, für die bzw. das die Aussage gemacht wurde.
Scribe bietet ein Tool namens Valint Dies bietet die Möglichkeit, Beweise zu generieren, sie in einer Bescheinigung zu signieren und sie später abzurufen und zu überprüfen. Verwenden Sie dieses Tool in Verbindung mit dem Scribe Hub-Plattform Sie können eine Beweiskette mit Bescheinigungen nicht nur für Ihr Endprodukt, sondern auch für jeden der darauf aufbauenden Builds erstellen und so Ihre Einhaltung bewährter Sicherheitspraktiken kontinuierlich und im Laufe der Zeit nachweisen, anstatt nur an einem einzelnen Punkt, z. B. direkt nach Abschluss des Builds .
Scribe bietet die Nutzung von Valint kostenlos an und bietet die Nutzung seiner Plattform auf Freemium-Basis an – Sie können sofort damit beginnen, kostenlos damit zu experimentieren. Testen Sie Scribe kostenlos und sehen Sie, welche Tools und Funktionen es Ihnen bietet. Das kontinuierliche Sammeln solcher Beweise für jeden Ihrer Builds kann Ihnen auch eine einzigartige Perspektive auf die Sicherheit Ihrer Produkte im Laufe der Zeit bieten. Da es so aussieht, als würden die vorherrschenden Winde des Wandels auf eine Ausweitung der Verantwortung der Softwarehersteller hindeuten, scheint es eine gute Idee zu sein, jetzt mit der Sammlung Ihrer konkreten Beweise und Bescheinigungen zu beginnen, anstatt darauf zu warten, dass sie gesetzlich verankert werden.
Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.