2023 年 XNUMX 月,白宫发布了新的 国家网络安全战略。该战略列出了白宫认为对于改善所有美国人(包括公共部门和私营部门)网络安全至关重要的 5 个支柱。第三个支柱涉及塑造市场力量以提高安全性和弹性的动力。该清单的一部分是这样的想法:太多的软件生产商没有在网络安全或适当的测试方面进行适当的投资,并通过合同逃避责任。您经常会在用户协议的小字中找到类似这样的内容:“被许可方同意赔偿并使许可方免受因第三方索赔而产生的所有损失、成本、费用或责任(包括合理的律师费)的损害”基于被许可方对软件的使用而针对许可方。” (查看更多 点击这里)
虽然大公司有权力和金钱来执行此类合同,但白宫认为软件和硬件生产商最终应对他们生产的软件和硬件负责。引用战略文件中的话:“责任必须由最有能力采取行动防止不良结果的利益相关者承担,而不是由经常承担不安全软件后果的最终用户承担,也不由组件的开源开发人员承担。已集成到商业产品中。”
白宫提议制定立法,确定软件产品和服务的责任。如果您的公司迄今为止一直依靠推卸责任和混淆用户协议来逃避此类法律麻烦,那么这种责任可能听起来很可怕。如果我们考虑到向美国法律体系提出此类主张是多么容易,那就更令人不安了。
为了向所有这些强大的公司提供胡萝卜,该战略提出了安全港框架的改进,以保护那些能够证明自己已经采取了一切措施来保护其软件的公司免于承担责任。 “安全港”一词在文件中仅出现两次。您可能想知道这个提议的框架到底是什么,它来自哪里,以及当前涵盖或建议涵盖哪些术语。
在本文中,我们将研究现有的安全港法律,看看它们目前适用于哪些地方,以及它们为遵守这些法律的公司提供了什么。
现行的安全港法有哪些?探索当前提供安全港的法律
截至今日,多个州已出台 数据泄露 诉讼 “安全港”法为数据泄露造成的责任提供积极的辩护,旨在鼓励企业积极主动地保护网络安全。组织必须实施和维护符合行业认可的最佳实践标准的网络安全计划,并能够在发生违规时证明对这些标准的合理遵守,以获得安全港保护的资格。
俄亥俄州 2018年,美国成为第一个通过网络安全肯定性辩护的国家。 康涅狄格 和 犹他州 最近在 2021 年通过了这些法案。其他几个州也提出了类似的安全港法。特别是 2020 年爱荷华州和新泽西州以及 2021 年佐治亚州和伊利诺伊州(见 点击这里 更多细节)。虽然所有这些提议都为拥有网络安全计划的企业提供了积极的防御,但具体条件取决于各州。例如,康涅狄格州、俄亥俄州和犹他州法案中提到的行业标准框架并未在佐治亚州法案中具体列出。相反,佐治亚州法律规定了一个“合理”的框架,该框架考虑到公司的规模、复杂性和受保护信息的敏感性。尽管这一策略是其他州法律的关键组成部分,但佐治亚州的法案似乎已决定不将选项限制在这些特定框架内。
就可接受的标准而言,当今最常见的美国网络安全框架是 NIST 的 SSDF(NIST 800-218)并且白宫战略文件中也提到了这个框架。
值得注意的是,在这些情况下,都不是绝对的免责保护。如果组织知道威胁或漏洞但未能采取合理行动及时解决,从而导致数据泄露,则安全港不能用作防御。总体而言,立法背后的想法是鼓励公司采取最佳实践来保护自己。如果他们甚至未能做到行业认可的最佳实践所要求的最低限度,那么当数据泄露不可避免地发生时,他们就不能免除自己的责任。
CISA 在该网络安全战略中扮演什么角色?
2023 年 XNUMX 月,CISA 发布了新的软件安全联合指南,名为 改变网络安全风险的平衡:设计安全和默认原则。这份政策指南是在白宫战略文件发布一个月左右出台的,其影响力可见一斑。在世界各地多个网络安全机构的支持下,CISA 旨在采取与白宫提议相同的方法,并将其推向全球。该指南旨在获得 软件制造商要对其产品和代码负责,使用彻底的透明度并构建安全的产品,开发设计安全且默认安全的产品。
关于组件的另一层有用信息是它们的许可证。许多开源组件附带的许可证与商业用途不兼容。重要的是要确保所有开源组件(即使是您自己未包含但由其他组件包含的组件)与您尝试在其许可证方面制作的任何内容兼容。
这些基本思想在 CISA 指南中得到了扩展,该指南还为软件开发人员提供了一长串可操作的建议,以使其产品更加安全。
有趣的是,这些具体建议中有多少是基于 NIST 的 SSDF 框架 但以一种不那么自愿、更实际的方式表达。例如,该指南指出,软件开发人员应将以下内容的创建纳入其中: an 斯博姆 进入他们的 SDLC,以提供对其软件组件的可见性。虽然 SSDF 确实推荐了 SBOM,但从未将其作为明确的强制性指令提及。
责任转移合法化
国家网络安全战略,或者至少是其中的这一部分,提议根据现有的州法律创建一个统一的安全港框架,但要广泛和全面。一方面,现有法律仅在数据泄露的情况下提供免责保护。只要被起诉的公司能够证明其遵守 SSDF 等现有最佳实践,拟议的框架就适用于网络事件的任何责任。
拟议的框架必须具有适应性,并且能够随着新的安全框架和新的最佳实践的发现和实施而不断发展。该战略建议继续投资于安全披露计划以及其他 SBOM 工具和用例的开发。
如果不认真转变责任,软件生态系统就无法像迄今为止那样继续前进。每个人(无论是生产者还是用户)都应该清楚,从最初的想法和设计阶段开始,安全性对于任何软件产品来说都是首要的。安全不应该是开发完成后才添加的东西。如果没有私营部门,责任转移就不可能发生,而且该部门因厌恶联邦政府的严厉介入而臭名昭著,因此以“免出狱”卡的形式提供“胡萝卜”的想法是一个很好的激励措施。
如何证明遵守网络安全最佳实践
如果有一条法律规定您需要“证明您遵守现有的最佳实践”,这一切都很好,您会如何去做呢? 当前的美国法规和最佳实践(例如 SSDF)鼓励软件生产商利用 证明 确保他们的供应链安全 从而 提供这样的证明。
证明是可验证的、经过加密签名的证据(例如文件、文件夹、存储库、文件来源或测试结果)。此类证据应与特定的环境背景相关联,使证明成为不可改变的证据,可以通过验证来证明所证明的事件或文件的存在。
Scribe 提供了一个名为 瓦林特 它提供了生成证据、将其签署到证明中以及随后检索和验证它的能力。将此工具与 抄写员中心平台 您不仅可以为最终产品生成证明证据线索,还可以为最终产品的每个构建生成证明证据线索,证明您随着时间的推移持续遵守安全最佳实践,而不仅仅是在单个点(例如构建完成后) 。
Scribe 免费提供 Valint 的使用,并以免费增值的方式提供其平台的使用 - 您现在就可以开始免费试用它。 免费试用抄写员 并查看它为您提供了哪些工具和功能。为您的每个构建持续收集此类证据还可以为您提供产品随时间推移的安全性的独特视角。由于变革的盛行趋势似乎正在扩大软件生产商的责任,因此现在开始收集确凿的证据和证明似乎是个好主意,而不是等待它被编入法律。
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
