home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Manufacturing Technology >> Industriële technologie

Wat is 'kritieke' software in Biden's Executive Order on Cybersecurity?

Op aanwijzing van president Biden heeft het National Institute of Standards and Technology onlangs een bijgewerkte definitie uitgegeven van wat "kritieke" softwarecomponenten zijn die vaak worden aangetroffen in toeleveringsketens. Maar volgens een cybersecurity-expert onthult de taal een merkwaardige omissie.

Bij het voorstellen welke aspecten van cyberbeveiligingstechnologie moeten worden opgenomen in de initiële implementatiefase van het uitvoerend bevel van de regering om de kritieke toeleveringsketens van het land te beoordelen en te beveiligen, sluit NIST embedded software en firmwarecomponenten uit, merkt Eric Greenwald op, algemeen adviseur bij Finite State, een provider beveiligingssystemen voor aangesloten apparaten.

Erkennend dat dergelijke componenten vaak "kritiek" zijn voor het beveiligen van I.T. systemen, suggereert NIST niettemin dat ze te complex van aard zijn om te worden opgenomen in de vroege implementatiefase van de inspanningen van de administratie.

NIST zegt dat het zijn definitie heeft gecoördineerd met input van tal van andere instanties, waaronder de Cybersecurity &Infrastructure Security Agency (CISA), Office of Management and Budget, Office of the Director of National Intelligence en National Security Agency. CISA, onderdeel van het Department of Homeland Security, zal gebruikmaken van de bevindingen van NIST om zijn eigen lijst met softwarecategorieën op te stellen die onder de reikwijdte van de eerste fase van de beoordeling vallen.

De bewering van NIST dat ingebedde software en firmware - de elementaire, low-level bedieningselementen voor apparaathardware - te complex zijn om onmiddellijk te worden opgepakt, is vervat in een antwoord op "veelgestelde vragen". Maar Greenwald zegt dat hij verbaasd is over de korte verklaring.

"Ik weet niet wat ze daarmee bedoelen", zegt hij, met het argument dat de NIST-definitie het effect zou kunnen hebben van het uitsluiten van echt kritieke elementen zoals firewalls "simpelweg omdat ze op apparaten staan ​​in plaats van in de cloud."

Greenwald realiseert zich dat NIST er in eerste instantie de voorkeur aan geeft geen software op te nemen die op een chipset in een apparaat is ingebed. “Maar als je het hebt over een besturingssysteem of applicatielaagsoftware, lijkt het me niet logisch dat je dat als categorie zou uitsluiten. Het is moeilijk te begrijpen hoe ze een zinvol onderscheid kunnen maken tussen apparaatsoftware en firmware."

"Complexiteit" is geen rechtvaardiging voor het onderscheid, zegt hij. "Ik zou zeggen dat hoe complexer het is, hoe belangrijker het is om hogere beveiligingsnormen toe te passen."

Een mogelijke motivatie voor NIST om de grens te trekken bij embedded software en firmware is een wens om "niet meer af te bijten dan ze kunnen kauwen" in de eerste implementatiefase van het uitvoerend bevel, erkent Greenwald. Door te ver te gaan in zijn definitie van wat kritische software is, zou het agentschap het risico lopen particuliere technologiebedrijven ervan te weerhouden deel te nemen aan overheidsopdrachten. Toch zegt hij dat dat geen legitieme reden is om die klasse software uit te sluiten van vroegtijdige actie.

Het onderscheid lijkt voor sommigen misschien academisch, maar het raakt de kern waarvan technologieleveranciers kunnen worden vertrouwd om belangrijke beveiligingssystemen te leveren aan zowel de overheid als de particuliere sector. Het ministerie van Defensie heeft onlangs zijn eigen normen voor inkoop aangescherpt met de uitgifte van zijn Cybersecurity Maturity Model-certificering. CMMC schrijft voor dat in aanmerking komende contractanten certificeringen van derden verkrijgen om hun software aan DOD te verkopen.

Greenwald ziet de mogelijkheid om een ​​regime in te voeren dat onmiddellijk honderdduizenden aannemers opruimt in een rigoureus nalevingsinitiatief. "Er zijn vragen over wie hier precies aan moet worden onderworpen", zegt hij. "Gebrek aan duidelijkheid is de duivel."

Maar gebrek aan duidelijkheid is ook de zorg van Greenwald als het gaat om NIST's schijnbare afwijzing van embedded software en firma als kritieke elementen die onmiddellijke aandacht vereisen van Biden's nieuw aangestelde taskforce voor verstoringen van de toeleveringsketen. Hij hoopt dat het bureau binnenkort duidelijkheid zal scheppen over zijn bedoeling, of dat CISA ervoor zal kiezen om de betwiste categorie op te nemen in de definitieve lijst van toepasselijke software.

Maar als beide agentschappen deze componenten blijven doorgeven aan fase één van de uitvoeringsopdracht, "heb ik er alle vertrouwen in dat ze in fase twee zullen worden opgenomen", zegt Greenwald. Het helemaal weglaten ervan zou de inspanningen om systemen te beveiligen tegen elke vorm van cyberdreiging ernstig in gevaar brengen.


Industriële technologie

  • Productieproces
  • 3d printen
  • Automatisering Besturingssysteem
  • Industriële technologie
    1. Wat vormt onderhoud en betrouwbaarheid van wereldklasse?
    2. Wat maakt een innovator?
    3. Software voor onderhoudswerkorders gebruiken
    4. Bezig met voorbereiden op Biden's Buy American Order? ERP-software kan helpen
    5. Biden's Executive Order vergroot de behoefte aan digitale transformatie
    6. Hoe u het beheer van groothandelsorders onder de knie krijgt met de juiste software
    7. Bedrijfsprocesbeheer:wat is het en waarom is het belangrijk?
    8. EAM versus CMMS:wat is het verschil?
    9. Wat kost een CMMS-software?
    10. 5 manieren waarop CMMS-software u laserfocust op wat belangrijk is
    11. Welke software en andere tools gebruiken PCB-ingenieurs?