Am 12. Mai 2021 unterzeichnete Präsident Biden die Verordnung zur Verbesserung der Cybersicherheit der Nation. Die Verordnung wurde nach dem äußerst schädlichen Angriff auf die Software-Lieferkette von SolarWinds Orion entwickelt und weist mehrere US-Bundesbehörden an, sich besser bei der Prävention, Erkennung, Reaktion und Eindämmung von Sicherheitsvorfällen und -verletzungen zu koordinieren, indem sie:
- Beseitigung von Hindernissen für den Austausch von Informationen über Bedrohungen
- Modernisierung der Cybersicherheitstechnologien und -praktiken der Bundesregierung
- Verbesserung der Sicherheit in der Software-Lieferkette
- Erstellung und Standardisierung des Leitfadens der Bundesregierung für Schwachstellen und die Reaktion auf Vorfälle
- Verbesserung der Erkennung von Cybersicherheitslücken und -vorfällen in Netzwerken der Bundesregierung
- Verbesserung der Ermittlungs- und Abhilfemaßnahmenkapazitäten der Bundesregierung
Diese Durchführungsverordnung (Executive Order, EO) baut auf früheren Durchführungsverordnungen zum Thema Cybersicherheit auf und verpflichtet Behörden dazu, einheitliche Standards auf Basis des NIST festzulegen, deren Umsetzung im Mai 2022 beginnen soll.
Da diese EO mehrere neue Anforderungen an das Risikomanagement durch Dritte für Bundesbehörden einführt, konzentriert sich dieser Beitrag auf Abschnitt 4. Verbesserung der Sicherheit der Software-Lieferkette. Wenn Softwareanbieter diese Anforderungen nicht erfüllen können, werden sie aus der Beschaffungsordnung der Bundesregierung gestrichen – was bedeutet, dass sie nicht mehr an die Regierung verkaufen dürfen. Die Bundesregierung wird diese Anforderungen, einschließlich der Test- und Bewertungskriterien, im Laufe des Jahres veröffentlichen.
Wie das Risikomanagement für Dritte auf die Verordnung des Präsidenten anzuwenden ist
Kritische IT-Systeme der US-Bundesregierung sind seit langem Ziel von Angriffen durch Nationalstaaten. Böswillige Akteure wissen, dass der einfachste und unsicherste Weg in die Systeme der Bundesregierung oft über Dienste und Software von Drittanbietern führt. Drittanbieter verfügen möglicherweise nicht über die erforderlichen Prozesse oder Kontrollen, um böswillige Aktivitäten oder Codes zu erkennen, und können potenziell eine Vielzahl sensibler Informationen offenlegen.
Technologien und Prozesse für das Risikomanagement von Drittanbietern können dabei helfen, die Richtlinien der Executive Order zu erfüllen, nach denen Unternehmen die Softwaresicherheit bewerten und darüber Bericht erstatten müssen. Zu den Kriterien der EO gehören die Bewertung der Sicherheitskontrollen von Entwicklern und Lieferanten sowie die Dokumentation der Einhaltung sicherer Praktiken.
Die folgende Tabelle fasst einige der wichtigsten Anforderungen an das Risikomanagement von Drittanbietern zusammen, die in der EO behandelt werden, sowie die von Prevalent empfohlenen Funktionen zur Bewertung der Praktiken von Lieferanten.
| EO-Leitfaden | Empfohlene Fähigkeiten |
|---|---|
| 4 e) (i) (A)-(F)
Diese Anleitung umfasst Normen, Verfahren oder Kriterien in Bezug auf: |
Nutzen Sie bei der Bewertung der Sicherheitspraktiken von Drittanbietersoftware die bestehenden, branchenweit anerkannten standardisierten Fragebogenvorlagen zur Risikobewertung, darunter Standard Information Gathering (SIG), NIST, CMMC und ähnliche Bewertungen. Durch die Verwendung einer einzigen standardisierten Bewertung für alle Ihre Lieferanten können Behörden die Sicherheitspraktiken ihrer Lieferanten effizienter vergleichen.
Hinweis: Behörden können auch Austauschnetzwerke nutzen, die bereits abgeschlossene Sicherheitsrisikobewertungen enthalten, um den Prozess der Risikoidentifizierung zu beschleunigen. |
| 4 (e) (ii)
(ii) Erstellung von Artefakten, die die Konformität mit den in Unterabschnitt (e)(i) dieses Abschnitts dargelegten Prozessen belegen, und Bereitstellung dieser Artefakte auf Verlangen eines Käufers; |
Stellen Sie bei der Bewertung der sicheren Softwareentwicklungspraktiken eines Drittanbieters sicher, dass Sie über die Möglichkeit verfügen, unterstützende Nachweise mit integrierter Aufgaben- und Abnahmeverwaltung sowie obligatorischen Upload-Funktionen zu zentralisieren. Ein sicheres Dokumentenarchiv gewährleistet, dass die relevanten Parteien die Dokumentation und Artefakte entsprechend überprüfen können. |
| 4 (e) (iii)
(iii) Einsatz automatisierter Werkzeuge oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, um die Integrität des Codes zu gewährleisten; |
Siehe 4 (e) (i) (A)-(F) oben. |
| 4 (e) (iv)
(iv) Einsatz automatisierter Werkzeuge oder vergleichbarer Verfahren, die bekannte und potenzielle Schwachstellen aufspüren und beheben, und die regelmäßig oder zumindest vor der Freigabe eines Produkts, einer Version oder eines Updates eingesetzt werden; |
Dritte müssen Schwachstellen in ihrer Software und ihrem Code scannen, bewerten und beheben und dies bestätigen. Aber damit sind die Bedrohungen noch nicht zu Ende. Sicherheitsteams sollten auch das Internet und das Dark Web auf Cyber-Bedrohungen, durchgesickerte Anmeldedaten oder andere Anzeichen für Kompromittierungen überwachen, die, wenn sie unentdeckt bleiben, Wege in föderale Systeme öffnen können. |
| 4 (e) (v)
(v) auf Verlangen eines Käufers Artefakte der Ausführung der in Unterabschnitt (e)(iii) und (iv) dieses Abschnitts beschriebenen Instrumente und Prozesse zur Verfügung stellen und zusammenfassende Informationen über den Abschluss dieser Maßnahmen öffentlich zugänglich machen, einschließlich einer zusammenfassenden Beschreibung der bewerteten und geminderten Risiken; |
Die Berichterstattung ist hier von entscheidender Bedeutung. Die IT-Sicherheitsteams der Bundesbehörden sollten in der Lage sein, Risikotrends, Status, Abhilfemaßnahmen und Abweichungen vom üblichen Verhalten einzelner Lieferanten oder Gruppen mit Hilfe von integrierten Machine-Learning-Erkenntnissen aufzudecken. Auf diese Weise könnten die Teams schnell Ausreißer bei Bewertungen, Aufgaben, Risiken usw. identifizieren, die eine weitere Untersuchung rechtfertigen könnten. |
| 4 (e) (vi)
(vi) genaue und aktuelle Daten, die Herkunft (d. h. den Ursprung) von Softwarecode oder -komponenten und Kontrollen von internen und externen Softwarekomponenten, -tools und -diensten, die in Softwareentwicklungsprozessen vorhanden sind, sowie die Durchführung von Audits und die Durchsetzung dieser Kontrollen auf wiederkehrender Basis; |
IT-Teams der Bundesbehörden sollten in der Lage sein, Informationen aus internen Audits automatisch den in dieser EO geltenden Standards oder regulatorischen Rahmenbedingungen – einschließlich NIST, CMMC und anderen – zuzuordnen, um wichtige Kontrollmängel schnell zu visualisieren und zu beheben und Praktiken zu bestätigen. Aufbau eines Risikomanagementprogramms für Dritte, das der EO zur Verbesserung der Cybersicherheit der Nation entspricht |
| 4 (e) (vii)
(vii) Bereitstellung einer Software-Stückliste (SBOM) für jedes Produkt direkt an den Käufer oder durch Veröffentlichung auf einer öffentlichen Website; |
Siehe 4 (e) (i) (A)-(F) oben. |
| 4 (e) (viii)
(viii) Teilnahme an einem Programm zur Offenlegung von Schwachstellen, das einen Melde- und Offenlegungsprozess umfasst; |
Siehe 4 (e) (i) (A)-(F) oben. |
| 4 (e) (ix)
(ix) Bescheinigung der Konformität mit Praktiken der sicheren Softwareentwicklung und |
Siehe 4 (e) (ii) oben. Da die in der Verordnung zur Verbesserung der Cybersicherheit der Nation dargelegten Anforderungen im nächsten Jahr Gestalt annehmen werden, ist es jetzt an der Zeit, dass IT-Softwareunternehmen ihre eigenen Risikomanagementprogramme für Dritte aufbauen oder weiterentwickeln. Zu den wichtigsten Überlegungen sollten gehören: |
| 4 (e) (x)
(x) Gewährleistung und Bescheinigung der Integrität und Herkunft von Open-Source-Software, die in einem Teil eines Produkts verwendet wird, soweit dies möglich ist. |
Siehe 4 (e) (vi) oben. Identifizieren Sie, welche Lieferanten als kritisch gelten, und konzentrieren Sie Ihre Bewertungsbemühungen auf diejenigen, die das größte inhärente Risiko für Ihren Betrieb darstellen. |
- Regelmäßige Bewertung der Praktiken für einen sicheren Softwareentwicklungslebenszyklus wichtiger Drittanbieter, die Code oder Updates zu Ihren endgültigen Builds beitragen
- Kontinuierliche Überwachung des Dark Webs, von Hacker-Chats und anderen verwandten Foren auf Aktivitäten im Zusammenhang mit Ihren Drittanbietern
- Bewertung und Behebung von Triage- und Überwachungsergebnissen
- Zentralisierung der Dokumentation und Berichterstattung für Wirtschaftsprüfer
Prevalent kann Ihnen dabei helfen. Wir bieten eine SaaS-Lösung, die die kritischen Aufgaben automatisiert, die erforderlich sind, um Risiken in Bezug auf Sicherheit, Datenschutz, Betrieb, Compliance und Beschaffung von Drittanbietern in jeder Phase des Lieferantenlebenszyklus zu identifizieren, zu bewerten, zu analysieren, zu beheben und kontinuierlich zu überwachen. Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen helfen kann, lesen Sie mehr über unsere TPRM-Fähigkeiten für die Executive Order zur Verbesserung der Cybersicherheit der Nation oder kontaktieren Sie uns noch heute für ein Strategiegespräch.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
