In maart 2023 bracht het Witte Huis een nieuwe uit Nationale Cybersecurity Strategie. De strategie schetst een lijst van vijf pijlers die het Witte Huis van cruciaal belang acht voor het verbeteren van de cyberveiligheid voor alle Amerikanen, zowel de publieke als de private sector. De derde pijler gaat over de drang om de marktkrachten vorm te geven om de veiligheid en veerkracht te verbeteren. Onderdeel van die lijst is het idee dat te veel softwareproducenten niet op de juiste manier investeren in cyberbeveiliging of goede tests en contractuele aansprakelijkheid vermijden. Te vaak kunt u in de kleine lettertjes van gebruikersovereenkomsten zoiets vinden als: “Licentiehouder stemt ermee in om Licentiegever schadeloos te stellen en te vrijwaren van alle verliezen, kosten, uitgaven of aansprakelijkheid (inclusief redelijke advocaatkosten) die voortvloeien uit een claim van een derde partij. tegen de Licentiegever op basis van het gebruik van de Software door de Licentiehouder.” (Bekijk meer hier)
Terwijl grotere bedrijven de macht en het geld hebben om dergelijke contracten af te dwingen, beschouwt het Witte Huis de software- en hardwareproducenten als uiteindelijk verantwoordelijk voor de software en hardware die zij produceren. Om uit het strategiedocument te citeren: “De verantwoordelijkheid moet worden gelegd bij de belanghebbenden die het meest in staat zijn actie te ondernemen om slechte resultaten te voorkomen, niet bij de eindgebruikers die vaak de gevolgen dragen van onveilige software, noch bij de open-sourceontwikkelaar van een component die is geïntegreerd in een commercieel product.”
Het Witte Huis stelt voor om wetgeving te ontwikkelen waarin de aansprakelijkheid voor softwareproducten en -diensten wordt vastgelegd. Een dergelijke aansprakelijkheid kan beangstigend klinken als je een bedrijf bent dat tot nu toe heeft vertrouwd op het verschuiven van de schuld en onduidelijke gebruikersovereenkomsten om precies dat soort juridische problemen te omzeilen. Het is zelfs nog verontrustender als we bedenken hoe gemakkelijk dergelijke claims aan het Amerikaanse rechtssysteem worden voorgelegd.
Om al deze machtige bedrijven een wortel te bieden, stelt de strategie de ontwikkeling van het Safe Harbor-raamwerk voor om bedrijven die kunnen bewijzen dat ze alles hebben gedaan wat ze zouden moeten doen om hun software te beschermen, te beschermen tegen aansprakelijkheid. De term Safe Harbor komt slechts tweemaal in het document voor. U vraagt zich waarschijnlijk af wat dit voorgestelde raamwerk precies inhoudt, waar het vandaan komt en welke termen er momenteel onder vallen of waarvan wordt voorgesteld dat ze eronder vallen.
In dit artikel zullen we de bestaande Safe Harbor-wetten onderzoeken en zien waar ze momenteel van toepassing zijn en wat ze bieden aan bedrijven die zich eraan houden.
Wat zijn de bestaande Safe Harbor-wetten? Onderzoek naar de wetten die momenteel een veilige haven bieden
Vanaf vandaag hebben verschillende staten dit ingevoerd datalek rechtszaken “Safe Harbor”-wetten die een positieve verdediging bieden tegen aansprakelijkheid als gevolg van datalekken met als doel bedrijven aan te moedigen proactief te zijn met hun cyberbeveiliging. Om in aanmerking te komen voor Safe Harbor-bescherming moet een organisatie cyberbeveiligingsprogramma's implementeren en onderhouden die voldoen aan door de sector erkende standaarden voor beste praktijken en in staat zijn om redelijke naleving ervan aan te tonen op het moment van de inbreuk.
Ohio was de eerste staat die in 2018 de positieve verdediging op het gebied van cyberbeveiliging doorstond. Connecticut en Utah hebben onlangs hun wetten aangenomen in 2021. Soortgelijke Safe Harbor-wetten zijn door verschillende andere staten voorgesteld. Met name door Iowa en New Jersey in 2020 en door Georgië en Illinois in 2021 (zie hier voor meer details). Hoewel al deze voorstellen bedrijven met cyberbeveiligingsprogramma's een positieve verdediging bieden, zijn de exacte voorwaarden afhankelijk van de staat. De industriestandaardkaders die worden genoemd in de wetsvoorstellen van Connecticut, Ohio en Utah worden bijvoorbeeld niet specifiek vermeld in het wetsvoorstel van Georgia. De Georgische wet schrijft in plaats daarvan een “redelijk” raamwerk voor dat rekening houdt met de omvang, complexiteit en gevoeligheid van de informatie die wordt beschermd. Hoewel deze strategie een belangrijk onderdeel is van de wetten in de andere staten, lijkt het Georgische wetsvoorstel de beslissing te hebben genomen om de opties niet tot die specifieke kaders te beperken.
In termen van aanvaardbare standaarden is het huidige Amerikaanse cyberbeveiligingsraamwerk het SSDF van NIST (NIST 800-218) en dit raamwerk wordt ook genoemd in het strategiedocument van het Witte Huis.
Het is belangrijk op te merken dat in geen van deze gevallen de bescherming tegen aansprakelijkheid absoluut is. Safe Harbor kan niet als verdedigingsmiddel worden gebruikt als een organisatie op de hoogte was van een dreiging of kwetsbaarheid en er niet in slaagde redelijke actie te ondernemen om deze tijdig aan te pakken, wat tot een datalek zou leiden. Over het geheel genomen is het idee achter de wetgeving om bedrijven aan te moedigen de beste praktijken toe te passen om zichzelf te beschermen. Als ze er niet in slagen om zelfs maar het minimum te doen dat wordt vereist door de door de sector erkende beste praktijken, kunnen ze niet worden ontheven van hun verantwoordelijkheid wanneer zich onvermijdelijk een datalek voordoet.
Wat is de rol van CISA in deze cyberbeveiligingsstrategie?
In april 2023 bracht CISA een nieuwe gezamenlijke gids voor softwarebeveiliging uit, genaamd Het verschuiven van de balans van cyberveiligheidsrisico’s: Security-by-Design en standaardprincipes. Deze beleidsgids verscheen ongeveer een maand na de publicatie van het strategiedocument van het Witte Huis en de invloed ervan is duidelijk zichtbaar. Met de steun van verschillende cyberbeveiligingsagentschappen van over de hele wereld wil CISA dezelfde aanpak volgen die het Witte Huis voorstelt en deze mondiaal maken. De gids heeft tot doel te krijgen softwarefabrikanten moeten de verantwoordelijkheid nemen voor hun producten en code, waarbij ze gebruik maken van radicale transparantie en veilige producten bouwen, waarbij ze producten ontwikkelen die zowel veilig zijn door hun ontwerp als standaard beveiligd zijn.
Een andere informatielaag die nuttig is over uw componenten is hun licentie. Veel open-sourcecomponenten worden geleverd met een licentie die niet compatibel is met commercieel gebruik. Het is belangrijk om ervoor te zorgen dat al uw open-sourcecomponenten, zelfs de componenten die u niet zelf hebt opgenomen maar wel door een andere component zijn opgenomen, compatibel zijn met wat u ook probeert te maken in termen van hun licentie.
Deze fundamentele ideeën worden verder uitgewerkt in de CISA-gids, die softwareontwikkelaars ook een lange lijst met bruikbare aanbevelingen biedt om hun producten veiliger te maken.
Het is interessant om te zien op hoeveel van deze specifieke aanbevelingen deze zijn gebaseerd NIST's SSDF-framework maar op een minder vrijwillige, meer praktische manier uitgedrukt. De gids stelt bijvoorbeeld dat softwareontwikkelaars de creatie van an SBOM in hun SDLC om inzicht te geven in de componenten van hun software. Hoewel de SSDF de SBOM wel aanbeveelt, wordt deze nooit genoemd als een duidelijke, verplichte instructie.
Legaliseren van verantwoordelijkheidsverschuiving
De Nationale Cyberbeveiligingsstrategie, of in ieder geval dit deel ervan, stelt voor om een verenigd Safe Harbor-raamwerk te creëren, gebaseerd op de bestaande staatswetten, maar veel uitgebreider en veelomvattender. Ten eerste bieden de bestaande wetten alleen bescherming tegen aansprakelijkheid in het geval van een datalek. Het voorgestelde raamwerk zou werken voor elke aansprakelijkheid voor een cyberincident, zolang het bedrijf dat wordt vervolgd kan aantonen dat het voldoet aan bestaande best practices zoals de SSDF.
Het voorgestelde raamwerk moet aanpasbaar zijn en kunnen evolueren om nieuwe beveiligingsraamwerken en nieuwe beste praktijken te integreren zodra deze worden ontdekt en geïmplementeerd. De strategie stelt voor om te blijven investeren in programma's voor het openbaar maken van beveiliging en in de ontwikkeling van aanvullende SBOM-tools en gebruiksscenario's.
Het software-ecosysteem kan niet zoals tot nu toe vooruitgaan zonder een serieuze verschuiving van de verantwoordelijkheid. Het moet voor iedereen, zowel producenten als gebruikers, duidelijk zijn dat beveiliging op de eerste plaats komt in elk softwareproduct, vanaf de eerste idee- en ontwerpfase. Beveiliging mag niet iets zijn dat als bijzaak wordt toegevoegd nadat de ontwikkeling is voltooid. De verschuiving van de aansprakelijkheid kan niet plaatsvinden zonder de particuliere sector en aangezien deze sector berucht is vanwege zijn afschuw van de hardhandige bemoeienis van de federale overheid, is het idee om een 'wortel' aan te bieden in de vorm van een 'verlaat de gevangenis gratis'-kaart een goede stimulans. .
Hoe u de naleving van best practices op het gebied van cyberbeveiliging kunt bewijzen
Het hebben van een wet die zegt dat u moet 'bewijzen dat u zich aan de bestaande beste praktijken houdt' is allemaal goed en wel, hoe zou u dat aanpakken? De huidige Amerikaanse regelgeving en best practices zoals de SSDF moedigen softwareproducenten aan om hiervan gebruik te maken attesten om hun toeleveringsketen veilig te stellen en dus dergelijk bewijs te leveren.
Attesten zijn verifieerbare, cryptografisch ondertekende bewijsstukken (zoals bestanden, mappen, opslagplaatsen, herkomst van bestanden of testresultaten). Dergelijk bewijsmateriaal moet worden gekoppeld aan een specifieke omgevingscontext, waardoor het attest een onveranderlijk bewijsstuk wordt dat kan worden geverifieerd om het bestaan van de gebeurtenis of het dossier waarvan wordt getuigd te bewijzen.
Scribe biedt een tool genaamd Valint dat de mogelijkheid biedt om bewijsmateriaal te genereren, het in een attest te ondertekenen en het later op te halen en te verifiëren. Gebruik deze tool in combinatie met de Scribe Hub-platform u kunt een bewijsspoor van attesten genereren, niet alleen voor uw eindproduct, maar voor elk van de builds die ernaartoe leiden, waarmee u voortdurend en in de loop van de tijd aantoont dat u zich aan de best practices op het gebied van beveiliging houdt, in plaats van slechts op één enkel punt, zoals direct nadat de build is voltooid .
Scribe biedt het gebruik van Valint gratis aan en biedt het gebruik van zijn platform op freemium-basis aan – u kunt er nu gratis mee gaan experimenteren. Probeer Scribe gratis en kijk welke tools en mogelijkheden het u biedt. Het voortdurend verzamelen van dergelijk bewijsmateriaal voor elk van uw builds kan u ook een uniek perspectief bieden op de veiligheid van uw producten in de loop van de tijd. Omdat het erop lijkt dat de heersende wind van verandering wijst in de richting van een uitbreiding van de verantwoordelijkheid van softwareproducenten, lijkt het een goed idee om nu te beginnen met het verzamelen van harde bewijzen en attesten, in plaats van te wachten tot het in de wet wordt vastgelegd.
Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.
Gerelateerde berichten
