Die Biden-Regierung Nationale Cybersicherheitsstrategie 2023 stellte strukturelle Mängel im Stand der Cybersicherheit fest und verwies auf das Versagen der Marktkräfte bei der angemessenen Verteilung der Verantwortung für die Sicherheit von Daten und digitalen Systemen. Vor allem zielt die Strategie darauf ab, „die Verantwortung neu auszubalancieren“. [for security] an diejenigen, die am besten positioniert sind.“
Kurz nach der Einführung der Strategie im März dieses Jahres startete die Cybersecurity and Infrastructure Security Agency (CISA) den Versuch, „das Gleichgewicht des Cybersicherheitsrisikos zu verschieben“, indem sie Unternehmen dazu drängte, Security-by-Design (SbD) einzuführen. Praktiken Methoden Ausübungenum die Sicherheit ihrer Produkte in der Entwurfsphase und während ihres gesamten Lebenszyklus zu verbessern.
Die Ankündigung dieser Bemühungen durch CISA-Direktorin Jen Easterly scheint CISA an die Spitze dieser Neuausrichtung zu bringen und sich mit den Anforderungen der Technologieanbieter zu befassen. Anreize, zu wenig in Sicherheit zu investieren durch Änderungen in der Art und Weise, wie diese Unternehmen die von ihnen verkauften Produkte entwerfen und einsetzen. Da es sich um den ersten substanziellen Vorschlag der Regierung von Präsident Biden handelt, diese Neuausrichtung seit Einführung der Strategie herbeizuführen, könnte der Erfolg oder Misserfolg der SbD-Initiative ein Ausschlag für eine der beiden Grundideen der Strategie sein.
Der Erfolg von SbD ist jedoch gefährdet, sowohl durch die politischen Herausforderungen bei der Umsetzung von SbD-Praktiken als auch durch die Gefahr unrealistischer Erwartungen. Dieses Stück befasst sich mit beiden und zeigt einen Weg nach vorne auf.
Politischer und struktureller Gegenwind
Die Politik der SbD-Implementierung – die implizit die Fähigkeit erfordert, Änderungen in den Anbieterpraktiken zu erzwingen, sowie die Einsicht, diese zu gestalten – ist für CISA ein gefährliches Terrain, da die schnell wachsende Agentur keine Regulierungsbehörde ist. Mit der Zeit könnte es dazu kommen, aber aktuelle und frühere Führungskräfte bestehen darauf, dass solche Verantwortlichkeiten im Widerspruch zur Agenturkultur und ihren operativen Verantwortlichkeiten stünden.
Die Fähigkeit der Agentur, gemeinsam mit staatlichen, lokalen, Stammes- und Territorialeinheiten sowie Interessenvertretern der Industrie zu unterstützen, Kapazitäten aufzubauen, zu schulen, zu koordinieren und zu planen, beruht auf ihrer Eigenschaft als vertrauenswürdiger Partner und neutraler Vermittler.
Dies bedeutet, dass CISA nur eine von mehreren Bundesbehörden sein sollte, die an der Umsetzung von SbD arbeiten, in Zusammenarbeit mit Regulierungsbehörden wie der Federal Trade Commission (FTC), eine scharfe und pointierte Ergänzung zum offenen Ansatz von CISA. Andernfalls könnte die SbD-Initiative die CISA in eine Zwickmühle bringen und versuchen, tief verwurzelte Marktanreizprobleme zu lösen, ohne jedoch die Möglichkeit zu haben, Unternehmen zu einem anderen Verhalten zu zwingen. Die Bemühungen der CISA, Rechenschaftspflicht zu schaffen, könnten ihre Versuche, guten Willen zu generieren, untergraben.
Die Entwicklung und Definition einer Reihe von SbD-Praktiken, die Anbieter bestätigen können und die die US-Regierung und andere Parteien überprüfen oder durchsetzen können, ist an sich schon ein gewaltiges Unterfangen. CISA muss SbD-Praktiken neben einer Architektur zur Durchsetzung aufbauen, die klare Rollen für Einrichtungen wie die FTC, das Verteidigungsministerium, die Securities and Exchange Commission und die General Services Administration festlegt.
Auch hier trägt das Weiße Haus und insbesondere das Büro des National Cyber Director die Verantwortung, diese behördenübergreifenden Bemühungen im Rahmen einer Strategie zur Steuerung der Branchenpolitik zur Verlagerung der Anreize in diesem Markt zu leiten – genau das, was das Büro konzipiert und besetzt hat , und organisiert zu tun. Der Schwerpunkt von CISA muss weiterhin auf der Auflistung und Aktualisierung der wesentlichen SbD-Praktiken liegen.
Nur ein Teil des Puzzles
Wie wir haben schon einmal argumentiert, „Keine Strategie kann alle Risikoquellen gleichzeitig angehen, aber …“ . . Allheilmittel tauschen oft rhetorische Klarheit gegen lähmende interne Kompromisse ein.“ Das SbD-Programm könnte tiefgreifende, bedeutsame Veränderungen in der Art und Weise bewirken, wie einige der größten Technologieanbieter Dienstleistungen und Produkte entwickeln. Diese Änderungen hätten wesentliche Vorteile für die Sicherheit jedes Technologienutzers.
Allerdings ist es eine grundsätzlich unlösbare Aufgabe, alle Unternehmen zu einem umfassenden und einheitlichen Satz bewährter Verfahren zu bewegen.
Böswillige Akteure sind ständig auf der Suche nach neuen Ausbeutungsmöglichkeiten. Verschiedene Sektoren und Systemklassen stehen vor unterschiedlichen und einzigartigen Herausforderungen. und neue Technologien sind anfällig für Fehler, sowohl neue als auch unvorhergesehene. Die Einführung bestimmter neuer Prozesse, deren konsequente Durchsetzung und die Festlegung bestehender Anreize wäre immer noch eine dringend notwendige Verbesserung gegenüber dem aktuellen Status quo.
Allerdings hätten die Einführung speichersicherer Sprachen oder die Förderung großer Akteure zu einem besseren Risikomanagement nicht unbedingt viele erhebliche Schwachstellen im aktuellen Speicher, wie etwa Log4Shell, verhindert. Um erfolgreich zu sein, muss CISA auch verstehen, wie große Technologieunternehmen Produkte und Dienstleistungen entwickeln – die aktuelle Branchenpraxis ist noch lange nicht vollständig oder perfekt, aber es ist die Grundlage, von der aus SbD den Wandel vorantreiben möchte. Das Verständnis dieser Grundlinie ist von entscheidender Bedeutung.
Es besteht eine Gefahr, wenn die Rhetorik rund um die Verlagerung von Verantwortung im Cyberspace darauf hindeutet, dass es Probleme und Herausforderungen im Bereich der Cybersicherheit gibt nur weil Technologieanbieter Abstriche machen oder dass alle Cybersicherheitsrisiken durch die Befolgung einer einfachen Reihe unkomplizierter Praktiken vermieden werden können. Die zunehmende Vernetzung und Abhängigkeit von Softwaresystemen sowie die Vielfalt der Organisationen und Systeme, mit denen sie verbunden sind, birgt ganz eigene Risiken.
SbD ist ein wichtiger Teil der Bewältigung dieses Problems – der Status Quo der auf den Benutzer übertragenen Verantwortung Ist kaputt – aber die Beschreibung von SbD als Allheilmittel birgt die Gefahr einer Gegenreaktion, wenn die Unsicherheit unweigerlich anhält.
Es ist klar, dass die CISA anerkennt, dass der Erfolg bei SbD eine der wirkungsvollsten politischen Interventionen im Bereich der Cybersicherheit im letzten Jahrzehnt sein könnte. Es ist auch klar, dass das Programm selbst in seiner erfolgreichsten Version einige Probleme ungelöst lassen wird. Eine genaue Angabe des Umfangs und der Ziele des Programms wird dazu beitragen, zu verhindern, dass die unvermeidlichen Kritiker die Debatte in eine Alles-oder-Nichts-Fraktion verzerren.
Risiko und Chance
SbD – die erste politische Manifestation der Bemühungen der Nationalen Cybersicherheitsstrategie, die Verantwortung zu verlagern – wird nicht allein durch bloßen guten Willen zustande kommen. CISA ist keine Regulierungsbehörde und muss einen Weg für Bundesbehörden definieren, die als Regulierungsbehörden fungieren, damit die Umsetzung von SbD die umfassenderen Standardsetzungs-, Durchsetzungs- und Regulierungsbefugnisse der Bundesregierung nutzt.
Wenn man davor zurückschreckt, diese Sicherheitspraktiken direkt durch die Regierung durchzusetzen, besteht die Gefahr, dass dieser Aufwand neben vielen anderen der Vergangenheit angehört.freiwillig“ Und „Von der Industrie geleitet”Programme.
Das wachsende und talentierte Team von CISA hat noch 18 Monate bis Januar 2025, der entweder den lähmenden Tumult des Übergangs oder die immer noch chaotische Reifung einer ersten Amtszeit in eine zweite Amtszeit überführen wird. Die größten Anbieter, die an diesem Programm teilnehmen würden, gehen nicht weiter und können es sich leisten, zu warten.
In diesem Sinne sind CISA und der Cyber-Politikapparat der gesamten US-Regierung auf dem Laufenden. CISA muss sich auf die wesentlichen Elemente von SbD konzentrieren und unter Berücksichtigung einer klaren Frist organisieren, aufbauen und engagieren. Die Uhr tickt.