Президент Байден заказывает маркировку безопасности программного обеспечения и доведение до потребителя списка ингредиентов, из которых оно состоит. Цель состоит в том, чтобы подтвердить происхождение, подлинность и безопасность продукта. Указ «Повышение кибербезопасности нации» был издан в мае прошлого года, и в последние недели начали поступать первые технические и организационные ответы со стороны федеральных агентств, академического и промышленного мира.
Наконец-то кажется.
Слишком много дыр в системе безопасности, слишком много злонамеренных актеров, которым за эти годы пришлось нелегко. Фактически, с этого момента необходимо будет установить проверенные процедуры отслеживания, чтобы продемонстрировать, что программное обеспечение было создано в безопасной среде в соответствии с передовой практикой разработки и тестирования; и происхождение исходных кодов необходимо будет учитывать, подтверждая их стандартизованными артефактами. И, наконец, пользователю больше не нужно будет подтверждать условия использования, ему нужно будет добавить маркировку безопасности и SBOM (Software Bill Of Materials): спецификацию материалов, в которой перечислены компоненты и их происхождение.
Короче говоря, покупка программного обеспечения будет очень похожа на покупку новой стиральной машины. Будьте внимательны при проверке энергетической маркировки, чтобы проверить потребление электроэнергии или уровень шума; или аналогично тому, как мы бродим по проходам в супермаркетах, намереваясь проверить таблицу ингредиентов печенья в поисках самого полезного, самого настоящего, нулевого километра, с меньшим количеством калорий и без аллергенов. Или снова, когда в ресторане мы ищем качественную бутылку вина, прося DOC, а не ту, которая отмечена единицей. Обозначение происхождения и гарантия.
Но пойдем по порядку и попробуем разобраться в происходящем. И особенно, если этого будет действительно достаточно.
В последние месяцы американское правительство выступило с двумя структурными инициативами: первая направлена на обеспечение безопасности цепочки поставок программного обеспечения; второй, направленный на доведение технологической среды промышленных систем управления до уровня кибербезопасности, по крайней мере, равного тому, который был достигнут сегодня в ИТ-системах.
Цепочка поставок программного обеспечения сейчас очень развита и широко распространена, так что теперь можно сказать, что это «любой, кто делает программное обеспечение». И в концепции «любой» есть связанное с этим «неопределенное», которое сегодня составляет главную уязвимость, лежащую в основе большинства компьютерных инцидентов: мы не только не знаем, кто именно является автором программного обеспечения, которое мы используем, к которой может быть возложена гражданская, уголовная и административная ответственность за причиненный ущерб или за фактическое воздействие опасностей; но мы даже не знаем, обеспечил ли этот кто-то, даже если он действовал добросовестно, ресурсы, структуры и операционные методы для безопасной разработки и тестирования продукта, а также адекватные средства контроля для предотвращения несанкционированного доступа.
И все это, если это в целом справедливо для всего программного обеспечения, приобретает решающее значение для категории так называемого критического программного обеспечения, то есть того, которое выполняет функции гарантии и безопасности, такие как те, которые необходимы для управления и проверки привилегий системных администраторов. или которые позволяют прямой доступ к машинам или сетевым ресурсам.
Таким образом, реализуемая стратегия будет пытаться гарантировать с помощью повторяемых и проверяемых процессов эти три аспекта: авторство, безопасность и подлинность. Посмотрим как.
Ожидается, что программное обеспечение будет создаваться в средах разработки, которые отделены от тех, в которых они будут впоследствии тестироваться, а также тех, в которых они будут - когда они будут полностью введены в эксплуатацию - будут использоваться; и информация для потребителя должна свидетельствовать о процедурах безопасности, используемых для обеспечения такой экологической изоляции. Затем необходимо будет использовать автоматизмы, которые позволят как проверку происхождения и целостности исходных кодов, используемых для разработки программного обеспечения, так и постоянный поиск уязвимостей и связанных с ними средств защиты. И это тоже должно быть признано в информации для пользователей, не упуская при этом краткого описания оцениваемых и смягчаемых рисков.
Также необходимо будет своевременно вести инвентаризацию данных, касающихся происхождения исходных кодов или компонентов программного обеспечения, не разработанных собственными силами, а также реализованных средств контроля и аудита программных компонентов, сервисов и инструментов разработки, как внутренних. и третьи стороны. Насколько это возможно, сертификация целостности и происхождения программного обеспечения с открытым исходным кодом, используемого в любой части продукта, будет обязательной. Наконец, необходимо будет продемонстрировать наличие системы внутреннего контроля, которая способна вовремя выявлять уязвимости, обнаруженные в программных продуктах.
По завершении или завершении действий, указанных выше, необходимо будет создать для потребителей знаки безопасности и ведомости материалов.
Ожидается, что все это значительно улучшит отслеживание происхождения, целостности и безопасности программного обеспечения, но также приведет к значительному увеличению затрат на внедрение и, следовательно, цен для общественности.
Но обычный человек с цифровым разрывом, который характеризует нынешнюю массовую культуру, который привык бесплатно скачивать «взломанное» программное обеспечение из Интернета, захочет ли он потратить существенно другие суммы на покупку такого рода безопасного программного обеспечения? Нам необходимо действовать параллельно, чтобы, рука об руку с безопасностью цепочки поставок программного обеспечения, мы действовали для повышения осведомленности о цифровой гигиене среди тех, кто почувствует потребность в этом программном обеспечении.
Орацио Данило Руссо, Карло Мусели
Для получения дополнительной информации:
https://www.federalregister.gov/documents/2021/05/17/2021-10460/improvin...
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/...
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity...
