В марте 2023 года Белый дом опубликовал новый документ. Национальная стратегия кибербезопасности. В стратегии изложен список из пяти столпов, которые Белый дом считает критически важными для улучшения кибербезопасности для всех американцев, как в государственном, так и в частном секторе. Третий столп связан со стремлением сформировать рыночные силы для повышения безопасности и устойчивости. Частью этого списка является идея о том, что слишком многие производители программного обеспечения не инвестируют должным образом в кибербезопасность или надлежащее тестирование и избегают ответственности по контракту. Слишком часто в пользовательских соглашениях мелким шрифтом можно найти что-то вроде: «Лицензиат соглашается возместить и оградить Лицензиара от всех убытков, издержек, расходов или ответственности (включая разумные гонорары адвокатов), возникающих в результате иска третьей стороны. против Лицензиара на основании использования Лицензиатом Программного обеспечения». (узнать больше здесь)
Хотя у более крупных компаний есть власть и деньги для обеспечения соблюдения таких контрактов, Белый дом считает, что производители программного и аппаратного обеспечения в конечном итоге несут ответственность за программное и аппаратное обеспечение, которое они производят. Цитата из стратегического документа: «Ответственность должна быть возложена на заинтересованные стороны, наиболее способные принять меры для предотвращения плохих результатов, а не на конечных пользователей, которые часто несут последствия небезопасного программного обеспечения, или на разработчика с открытым исходным кодом компонента, который интегрирован в коммерческий продукт».
Белый дом предлагает разработать закон, устанавливающий ответственность за программные продукты и услуги. Такая ответственность может показаться пугающей, если вы — компания, которая до сих пор полагалась на перекладывание вины и запутанные пользовательские соглашения, чтобы избежать именно такого рода юридических проблем. Это еще больше сбивает с толку, если принять во внимание легкость, с которой подобные претензии предъявляются американской правовой системе.
Чтобы предложить пряник всем этим влиятельным компаниям, стратегия предлагает развитие структуры Safe Harbor, чтобы оградить от ответственности те компании, которые могут доказать, что они сделали все, что должны были, для защиты своего программного обеспечения. Термин «Безопасная гавань» появляется в документе только дважды. Вам, вероятно, интересно, что именно представляет собой предлагаемая структура, откуда она взялась и какие термины в настоящее время охватываются или предлагается охватить.
В этой статье мы рассмотрим существующие законы Safe Harbor и увидим, где они применяются в настоящее время и что они предлагают тем компаниям, которые их соблюдают.
Каковы существующие законы о безопасной гавани? Изучение законов, которые в настоящее время обеспечивают безопасную гавань
На сегодняшний день несколько штатов ввели Данные нарушения судебные разбирательства Законы «Безопасной гавани», которые предлагают позитивную защиту от ответственности, возникающей в результате утечки данных, с целью стимулировать предприятия к активному обеспечению своей кибербезопасности. Чтобы претендовать на защиту Safe Harbor, организация должна внедрять и поддерживать программы кибербезопасности, которые соответствуют признанным в отрасли стандартам передовой практики, и быть в состоянии продемонстрировать разумное соблюдение их на момент взлома.
Огайо было первым государством, принявшим позитивную защиту в области кибербезопасности в 2018 году. Коннектикут и Юта недавно приняли свои законы в 2021 году. Аналогичные законы о «Безопасной гавани» были предложены несколькими другими штатами. В частности, Айовой и Нью-Джерси в 2020 году и Джорджией и Иллинойсом в 2021 году (см. здесь Больше подробностей). Хотя все эти предложения предлагают предприятиям, имеющим программы кибербезопасности, положительную защиту, точные условия зависят от государства. Например, рамки отраслевых стандартов, упомянутые в законопроектах Коннектикута, Огайо и Юты, не указаны конкретно в законопроекте Джорджии. Вместо этого закон Джорджии предписывает «разумную» структуру, которая учитывает размер компании, сложность и конфиденциальность защищаемой информации. Хотя эта стратегия является ключевым компонентом законов в других штатах, законопроект Джорджии, похоже, принял решение не ограничивать варианты этими конкретными рамками.
С точки зрения приемлемых стандартов, наиболее распространенной структурой кибербезопасности в США на сегодняшний день является SSDF NIST (НИСТ 800-218), и эта основа также упоминается в стратегическом документе Белого дома.
Важно отметить, что ни в одном из этих случаев защита от ответственности не является абсолютной. Safe Harbor не может использоваться в качестве защиты, если организация знала об угрозе или уязвимости и не приняла разумных мер для ее своевременного устранения, что привело к утечке данных. В целом, идея закона заключается в том, чтобы побудить компании применять передовой опыт для защиты себя. Если они не смогут выполнить даже минимум, требуемый признанными в отрасли лучшими практиками, они не смогут быть освобождены от ответственности, когда неизбежно произойдет утечка данных.
Какова роль CISA в этой стратегии кибербезопасности?
В апреле 2023 года CISA выпустило новое совместное руководство по безопасности программного обеспечения под названием Изменение баланса рисков кибербезопасности: Принципы безопасности при проектировании и по умолчанию. Это политическое руководство появилось примерно через месяц после публикации стратегического документа Белого дома, и его влияние можно ясно увидеть. При поддержке нескольких агентств кибербезопасности со всего мира CISA стремится использовать тот же подход, который предлагает Белый дом, и сделать его глобальным. Целью руководства является получение производители программного обеспечения берут на себя ответственность за свои продукты и код, используя радикальную прозрачность и создавая безопасные продукты, разрабатывая те, которые безопасны по своей конструкции и безопасны по умолчанию.
Еще один уровень информации о ваших компонентах, который полезно иметь, — это их лицензия. Многие компоненты с открытым исходным кодом поставляются с лицензией, несовместимой с коммерческим использованием. Важно убедиться, что все ваши компоненты с открытым исходным кодом, даже те, которые вы не включили сами, но были включены каким-либо другим компонентом, совместимы со всем, что вы пытаетесь создать, с точки зрения их лицензии.
Эти фундаментальные идеи подробно рассматриваются в руководстве CISA, которое также предлагает разработчикам программного обеспечения длинный список практических рекомендаций по повышению безопасности их продуктов.
Интересно посмотреть, сколько из этих конкретных рекомендаций основано на Структура SSDF NIST но выражается менее добровольно и более практично. Например, в руководстве говорится, что разработчики программного обеспечения должны предусмотреть создание an СБОМ в свой SDLC, чтобы обеспечить видимость компонентов своего программного обеспечения. Хотя SSDF рекомендует SBOM, он никогда не упоминается как четкая и обязательная инструкция.
Легализация смещения ответственности
Национальная стратегия кибербезопасности, или, по крайней мере, ее часть, предлагает создать единую структуру «Безопасной гавани», основанную на существующих законах штата, но гораздо более обширную и всеобъемлющую. Во-первых, существующие законы обеспечивают защиту только от ответственности в случае утечки данных. Предлагаемая структура будет работать в отношении любой ответственности за киберинцидент, если преследуемая компания может продемонстрировать свое соответствие существующим передовым практикам, таким как SSDF.
Предлагаемая структура должна быть адаптируемой и иметь возможность развиваться, включая новые структуры безопасности и новые передовые методы по мере их обнаружения и внедрения. Стратегия предлагает продолжать инвестировать в программы раскрытия информации о безопасности, а также в разработку дополнительных инструментов и сценариев использования SBOM.
Экосистема программного обеспечения не может продолжать развиваться так, как она это делала до сих пор, без серьезного смещения ответственности. Всем, как производителям, так и пользователям, должно быть ясно, что безопасность превыше всего в любом программном продукте, начиная с первоначальной идеи и стадии проектирования. Безопасность не должна быть чем-то второстепенным, после завершения разработки. Изменение ответственности не может произойти без участия частного сектора, а поскольку этот сектор известен своим неприятием жесткого вмешательства со стороны федерального правительства, идея предложить «пряник» в виде карты «выйти из тюрьмы бесплатно» является хорошим стимулом. .
Как доказать соблюдение передовых методов кибербезопасности
Наличие закона, в котором говорится, что вам необходимо «доказать свою приверженность существующим передовым практикам», — это хорошо, как бы вы это сделали? Действующие в США правила и лучшие практики, такие как SSDF, поощряют производителей программного обеспечения использовать аттестаты чтобы обезопасить свою цепочку поставок и, следовательно, предоставить такое доказательство.
Аттестации — это проверяемые, криптографически подписанные доказательства (например, файлы, папки, репозитории, происхождение файлов или результаты тестирования). Такие доказательства должны быть связаны с конкретным контекстом окружающей среды, что делает аттестацию неизменным доказательством, которое можно проверить, чтобы доказать существование события или файла, о котором свидетельствуется.
Scribe предлагает инструмент под названием Валинт это обеспечивает возможность генерировать доказательства, подписывать их в аттестации, а затем извлекать и проверять их. Использование этого инструмента в сочетании с Платформа Scribe Hub вы можете создать свидетельства аттестации не только для вашего конечного продукта, но и для каждой из сборок, ведущих к нему, демонстрируя свою приверженность передовым практикам безопасности постоянно и в течение долгого времени, а не только в какой-то момент, например, сразу после завершения сборки. .
Scribe предлагает использование Valint бесплатно и предлагает использование своей платформы на условиях freemium — вы можете начать экспериментировать с ней бесплатно прямо сейчас. Попробуйте Писец бесплатно и посмотрите, какие инструменты и возможности он вам предлагает. Постоянный сбор таких доказательств для каждой вашей сборки также может дать вам уникальное представление о безопасности ваших продуктов с течением времени. Поскольку похоже, что преобладающие ветры перемен указывают на расширение ответственности производителей программного обеспечения, кажется хорошей идеей начать собирать веские доказательства и свидетельства сейчас, а не ждать, пока это будет закреплено в законе.
Этот контент предоставлен вам Scribe Security, ведущим поставщиком комплексных решений для обеспечения безопасности цепочки поставок программного обеспечения, обеспечивающим современную безопасность артефактов кода, а также процессов разработки и доставки кода по всей цепочке поставок программного обеспечения. Подробнее.
Статьи по теме
