Главная страница
Навигация по странице:

  • Воронеж 2023 Национальная стратегия кибербезопасности смещается в сторону привлечения разработчиков к ответственности

  • Стратегия построена на столпах: Защита критически важной инфраструктуры

  • Разрушение и устранение субъектов угрозы

  • Инвестиции в устойчивое будущее

  • Налаживание международных партнерских отношений для достижения общих целей

  • Формирование рыночных сил для обеспечения безопасности и устойчивости

    		•

    анализ финансов. ЭССЕ. национальная стратегия кибербезопасности смещается в сторону привлечения разработчиков к ответственности по направлению подготовки


    Скачать 27.13 Kb.
    Названиенациональная стратегия кибербезопасности смещается в сторону привлечения разработчиков к ответственности по направлению подготовки
    Анкоранализ финансов
    Дата18.03.2023
    Размер27.13 Kb.
    Формат файлаdocx
    Имя файлаЭССЕ.docx
    ТипДокументы
    #998964

    Воронежский институт высоких технологий – автономная некоммерческая образовательная организация высшего образования

    (ВИВТ-АНОО ВО)

    эссе

    по дисциплине: «Аппаратно-программное обеспечение инфраструктуры систем искусственного интеллекта»

    на тему: «национальная стратегия кибербезопасности смещается в сторону привлечения разработчиков к ответственности»

    по направлению подготовки 09.04.01.Информатика и вычислительная техника

    Студент группы: ИНмкз-222

    форма обучения: заочная

    Ф. И. О: Косарев Дмитрий Сергеевич

    Воронеж 2023

    Национальная стратегия кибербезопасности смещается в сторону привлечения разработчиков к ответственности

    Администрация Байдена-Харриса сегодня объявила о своей Национальной стратегии кибербезопасности, которая явно направлена на передачу ответственности за обеспечение безопасности устройств и программного обеспечения IoT производителям и разработчикам.

    Президент Байден заявляет в своей вступительной записке: “Мы перераспределим ответственность за кибербезопасность, чтобы она была более эффективной и справедливой”. Далее в документе говорится, что программное обеспечение и системы становятся все более сложными, обеспечивая ценность для компаний и потребителей, но также повышая нашу коллективную незащищенность.
    В нем добавляется: “Слишком часто мы накладываем новые функциональные возможности и технологии на уже сложные и хрупкие системы в ущерб безопасности и устойчивости. Широкое внедрение систем искусственного интеллекта, которые могут действовать неожиданным образом даже для их собственных создателей, повышает сложность и риск– связанные со многими из наших наиболее важных технологических систем ”.

    Стратегия построена на столпах:

    1. Защита критически важной инфраструктуры: обеспечение уверенности американского народа в доступности и устойчивости критически важной инфраструктуры и основных предоставляемых ею услуг;

    2. Разрушение и устранение субъектов угрозы: использование всех инструментов национальной власти, чтобы сделать злоумышленников неспособными угрожать национальной или общественной безопасности Соединенных Штатов;

    3. Инвестиции в устойчивое будущее: благодаря стратегическим инвестициям и скоординированным совместным действиям Соединенные Штаты будут продолжать лидировать в мире в области инноваций в области безопасных и устойчивых технологий и инфраструктуры следующего поколения - это включает в себя приоритет исследований и разработок в таких областях, как постквантовая криптография, цифровая идентификация и инфраструктура чистой энергии;и развития разнообразной национальной кибернетической рабочей силы;

    4. Налаживание международных партнерских отношений для достижения общих целей: Соединенные Штаты стремятся к миру, в котором ответственное поведение государства в киберпространстве ожидается и подкрепляется, а безответственное поведение является изолирующим и дорогостоящим.

    Формирование рыночных сил для обеспечения безопасности и устойчивости

    Особого внимания заслуживает компонент, в котором говорится, что одних рыночных сил недостаточно для обеспечения безопасной разработки продукта. Стратегия указывает на то, что бремя ответственности за обеспечение безопасности продуктов и программного обеспечения в большей степени ляжет на производителей устройств Интернета вещей и разработчиков программного обеспечения.

    В нем говорится:

    “Продолжающиеся сбои в критически важной инфраструктуре и кражи персональных данных ясно показывают, что одних рыночных сил недостаточно для широкого внедрения передовых методов в области кибербезопасности и устойчивости. Слишком часто организации, которые предпочитают не инвестировать в кибербезопасность, негативно и несправедливо влияют на тех, кто это делает, часто непропорционально влияя на малый бизнес и наши наиболее уязвимые сообщества. В то время как рыночные силы остаются первым, лучшим путем к гибким и эффективным инновациям, они недостаточно мобилизовали промышленность для определения приоритетов наших основных экономических интересов и интересов национальной безопасности.

    Для решения этих проблем администрация будет формировать долгосрочную безопасность и устойчивость цифровой экосистемы как к сегодняшним угрозам, так и к вызовам завтрашнего дня. Мы должны привлекать распорядителей наших данных к ответственности за защиту персональных данных; стимулировать разработку более безопасных подключенных устройств; и изменить законы, регулирующие ответственность за потерю данных и ущерб, причиненный ошибками кибербезопасности, уязвимостями программного обеспечения и другими рисками, создаваемыми программным обеспечением и цифровыми технологиями. Мы будем использовать федеральную покупательную способность и предоставление грантов для стимулирования безопасности ”.

    Далее в стратегической цели говорится, что производители устройств Интернета вещей делают недостаточно для защиты пользователей от киберугроз:

    Устройства Интернета вещей (IoT), включая как потребительские товары, такие как фитнес-трекеры и радионяни, так и промышленные системы управления и датчики, представляют новые источники подключения в наших домах и на предприятиях. Однако многие из устройств Интернета вещей, используемых сегодня, недостаточно защищены от угроз кибербезопасности. Слишком часто они развертываются с неадекватными настройками по умолчанию, могут быть сложными или невозможными для исправления или обновления или оснащены расширенными, а иногда и ненужными, возможностями, которые позволяют осуществлять вредоносную кибератаку на критически важных физических и цифровых системах. Недавние уязвимости Интернета вещей показали, насколько легко злоумышленники могут использовать эти устройства для создания ботнетов и ведения наблюдения .

    Администрация продолжит улучшать кибербезопасность Интернета вещей посредством федеральных исследований и разработок (R & D), закупок и усилий по управлению рисками, как указано в Законе об улучшении кибербезопасности Интернета вещей от 2020 года. Кроме того, Администрация продолжит продвигать разработку программ маркировки безопасности Интернета вещей в соответствии с указаниями EO 14028 “Улучшение кибербезопасности страны”. Благодаря расширению ярлыков безопасности IoT потребители смогут сравнивать средства защиты от кибербезопасности, предлагаемые различными продуктами IoT, создавая тем самым рыночный стимул для повышения безопасности во всей экосистеме IoT .

    В стратегической цели Национальной стратегии кибербезопасности говорится, что, поскольку слишком много поставщиков игнорируют лучшие практики безопасной разработки, ответственность придется переложить на разработчиков.

    Вот выдержка из этого раздела:

    Рынки налагают неадекватные расходы на – и часто вознаграждают – те организации, которые внедряют уязвимые продукты или услуги в нашу цифровую экосистему. Слишком много поставщиков игнорируют рекомендации по безопасной разработке, поставляют продукты с небезопасными конфигурациями по умолчанию или известными уязвимостями и интегрируют стороннее программное обеспечение непроверенного или неизвестного происхождения. Производители программного обеспечения могут использовать свое положение на рынке, чтобы полностью отказаться от ответственности по контракту, что еще больше снижает их стимул следовать принципам безопасности по дизайну. проведет предварительное тестирование. Полная безопасность программного обеспечения значительно увеличивает системный риск во всей цифровой экосистеме и оставляет американских граждан нести конечную стоимость.

    Мы должны начать перекладывать ответственность на те организации, которые не принимают разумных мер предосторожности для защиты своего программного обеспечения, признавая, что даже самые передовые программы защиты программного обеспечения не могут предотвратить все уязвимости. Компании, создающие программное обеспечение, должны иметь свободу для инноваций, но они также должны быть привлечены к ответственности, если они не выполняют свои обязанности по уходу за потребителями, предприятиями или поставщиками критически важной инфраструктуры. Ответственность должна быть возложена на заинтересованные стороны, наиболее способные предпринять действия для предотвращения плохих результатов, а не на конечных пользователей, которые часто несут на себе последствия небезопасного программного обеспечения, или на разработчика с открытым исходным кодом компонента, интегрированного в коммерческий продукт. Это подтолкнет рынок к производству более безопасных продуктов и услуг, сохраняя при этом инновации и способность стартапов и других малых и средних предприятий конкурировать с лидерами рынка.

    Администрация будет работать с Конгрессом и частным сектором над разработкой законодательства, устанавливающего ответственность за программные продукты и услуги. Любое такое законодательство должно препятствовать производителям и издателям программного обеспечения, имеющим влияние на рынке, полностью отказываться от ответственности по контракту и устанавливать более высокие стандарты заботы о программном обеспечении в конкретных сценариях высокого риска. Чтобы начать формировать стандарты заботы о безопасной разработке программного обеспечения, Администрация будет стимулировать разработку адаптируемой системы безопасной гавани для защиты от компаний с ограниченной ответственностью, которые безопасно разрабатывают и поддерживают свои программные продукты и услуги. Эта безопасная гавань будет основана на современных передовых методах безопасной разработки программного обеспечения, таких как NIST Secure Software Development Framework. Она также должна развиваться со временем, включая новые инструменты для безопасной разработки программного обеспечения, прозрачности программного обеспечения и обнаружения уязвимостей.

    Для дальнейшего стимулирования внедрения безопасных методов разработки программного обеспечения Администрация будет поощрять скоординированное раскрытие уязвимостей во всех типах технологий и секторах; содействовать дальнейшему развитию SBOM (спецификация программного обеспечения); и разработать процесс выявления и снижения риска, связанного с неподдерживаемым программным обеспечением, которое широко используется или поддерживает критическую инфраструктуру. В партнерстве с частным сектором и сообществом разработчиков программного обеспечения с открытым исходным кодом федеральное правительство также продолжит инвестировать в разработку защищенного программного обеспечения, включая безопасные для памяти языки и методы разработки программного обеспечения, фреймворки и инструменты тестирования ”

    Полный документ о национальной стратегии кибербезопасности можно 

    https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf

    написать администратору сайта