Nationale Cybersecuritystrategie Implementatieplan & Implicaties
14 jul 2023
Interlynk
Op 13 juli heeft het Witte Huis de Nationale Cybersecurity Strategie Implementatieplan vrijgegeven - een roadmap voor het coördineren van de inspanningen om te voldoen aan de strategische doelstellingen vastgesteld met de Nationale Cybersecurity Strategie die in maart is vrijgegeven.
Dit plan is niet bedoeld als een uitputtende lijst van activiteiten die een Federale Agentschap onderneemt. In plaats daarvan is het een set van “65 impactvolle initiatieven die uitvoerende zichtbaarheid en interagency coördinatie vereisen”. Het document zelf wordt beschouwd als “eerste iteratie” en “levend”, met de bedoeling van jaarlijkse updates.
De implementatie is verdeeld in vijf pijlers, elk opgesplitst in strategische doelstellingen die uit meerdere initiatieven bestaan. Elk initiatief is toegewezen aan een agentschap en een tijdlijn.
Implementatiedoelstellingen
De vijf pijlers en bijbehorende doelstellingen zijn:
Pijler Eén: Verdedig Kritieke Infrastructuur
Doelstellingen:
1.1 Vaststellen van Cybersecurity Vereisten ter Ondersteuning van Nationale Veiligheid en Openbare Veiligheid
1.2 Schaal Verhoogde Publiek-Private Samenwerking
1.3 Integreren van Federale Cybersecurity Centra
1.4 Bijwerken van het Federale Incidentresponsplan en -processen
1.5 Federal Defenses Moderniseren
Pijler Twee: Verstoren en Ontmantelen van Bedreigingsactoren
Doelstellingen:
2.1 Integreren van Federale Verstoring Activiteiten
2.2 Verbeter de Publiek-Private Operationele Samenwerking om Tegenstanders te Verstoren
2.3 Verhoog de Snelheid en Schaal van Inlichtingenuitwisseling en Slachtoffernotificatie
2.4 Misbruik van in de VS gevestigde infrastructuur voorkomen
2.5 Cybercriminaliteit Tegengaan, Ransomware Verslaan
Pijler Drie: Vorm Markt Krachten om Beveiliging en Veerkracht te Drijven
Doelstellingen:
3.1 [Geen gespecificeerd]
3.2 Stimuleren van de Ontwikkeling van Beveiligde IoT-apparaten
3.3 Aansprakelijkheid verschuiven voor Onveilige Softwareproducten en -diensten
3.4 Gebruik Federale Beurzen en Andere Stimulansen om Beveiliging in te Bouwen
3.5 Gebruik Federale Inkoop om Verantwoordelijkheid te Verbeteren
3.6 Verken een Federale Cyberverzekering
Pijler Vier: Investeren in een Veerkrachtige Toekomst
Doelstellingen:
4.1 Zekerstellen van de Technische Basis van het Internet
4.2 Federale Onderzoek en Ontwikkeling voor Cybersecurity Herleven
4.3 Voorbereiden op Onze Post-Quantum Toekomst
4.4 Zekerstellen van Onze Schone Energie Toekomst
4.5 [Geen Gespecificeerd]
4. 6 Ontwikkelen van een Nationale Strategie om Onze Cyberwerkgeverskracht te Versterken
Pijler Vijf: Internationale Partnerschappen Smeden om Gedeelde Doelen na te Streven
Doelstellingen:
5.1 Coalities Bouwen om Bedreigingen voor Ons Digitale Ecosysteem Tegen te Gaan
5.2 Versterken van de Capaciteit van Internationale Partners
5.3 Amerikaanse Capaciteit Uitbreiden om Bondgenoten en Partners te Helpen
5.4 Coalities Bouwen om Wereldwijde Normen voor Verantwoord Staatsgedrag te Versterken
5.5 Zekerstellen van Wereldwijde Leveringsketens voor Informatie-, Communicatie- en Operationele Technologieproducten en -diensten
Implicaties Tijdlijn
Het document omvat 65 initiatieven, waarvan vele blootstelling aan de particuliere sector hebben. Er zijn zelfs twaalf directe verwijzingen naar publiek-private partnerschappen in het document.
We hebben echter de volgende initiatieven geïdentificeerd met de duidelijkste implicaties voor de particuliere sector.
4Q 23
2.4.1: Publiceer een kennisgeving van voorgestelde regelgeving over eisen, normen en procedures voor Infrastructure-as-a-service (IaaS) aanbieders en wederverkopers
3.2.1: Implementeer de vereisten van de Federal Acquisition Regulation (FAR) per de Cybersecurity Improvement Act van 2020 voor het Internet of Things (IoT)
3.2.2: Start een U.S. Government IoT beveiligingslabelprogramma
5.5.3: Begin met het beheer van het Public Wireless Supply Chain Innovation Fund (PWSCIF)
1Q FY24
2.1.1 Publiceer een bijgewerkte Cyberstrategie
3.5.1 Implementeer de noodzakelijke wijzigingen in de Federal Acquisition Regulation (FAR) onder EO 14028
4.1.2 Bevorder de beveiliging van open-source software en de adoptie van geheugenveilige programmeertalen
4.2.1 Versnel de rijpheid, adoptie en beveiliging van geheugenveilige programmeertalen
4.4.1 Stimuleren van de adoptie van cyberveilig-van-ontwerp principes door ze in federale projecten op te nemen
2Q FY24
2.2.1 Identificeer mechanismen voor verhoogde tegenwerkende verstoring door publiek-private operationele samenwerking
3.3.1 Verken benaderingen voor het ontwikkelen van een langdurig, flexibel en duurzaam wettelijk kader voor software
3Q FY24
4.1.5 Samenwerken met belangrijke belanghebbenden om veilige internet-routing te bevorderen
4Q FY24
1.2.1 Schaal publiek-private partnerschappen om de ontwikkeling en adoptie van veilig-via-ontwerp en veilig-via-standaard technologie te stimuleren
3.4.3 Prioriteer cybersecurity onderzoek, ontwikkeling en demonstratie van sociaal, gedrags- en economisch onderzoek in cybersecurity
1Q FY25
1.1.3 Verhoog het gebruik van raamwerken en internationale normen door agentschappen om de regelgevende afstemming te informeren
2Q FY25
3.3.2 Bevorder software factuurlijsten (SBOM) en verminder het risico van niet-ondersteunde software
4Q FY25
3.3.3 Gecoördineerde kwetsbaarheidsbehandeling
Implicaties
1.1.3: Verhoog het gebruik van kaders en internationale normen door overheidsinstanties om de regulatoire afstemming te informeren
Gevolg: NIST zal het Cybersecurity Framework (CSF) 2.0 uitgeven en technische ondersteuning bieden bij de afstemming van regelgeving met internationale normen
Voltooiingsdatum: 1Q FY 25
1.2.1 Schaal publiek-private partnerschappen op om de ontwikkeling en adoptie van secure-by-design en secure-by-default technologie te bevorderen
Gevolg: CISA, met ondersteuning van NIST, zal principes en praktijken voor secure-by-design en secure-by-default creëren en collectieve actie stimuleren om dergelijke principes en best practices aan te nemen.
Voltooiingsdatum: 4Q FY24
2.1.1 Publiceer een bijgewerkt DOD Cyberstrategie
Gevolg: DOD zal zijn Cyberstrategie bijwerken met een focus op de uitdagingen die door natiestaten worden geposeerd. Dit zal waarschijnlijk de regulatoire vereisten voor samenwerking met de DOD bijwerken en projecten creëren voor het bouwen van nieuwe capaciteiten die private partnerschappen vereisen.
Voltooiingsdatum: 1Q FY24
2.2.1 Identificeer mechanismen voor verhoogde vijandige verstoring door middel van publiek-private operationele samenwerking
Gevolg: ONCD zal samenwerken met de private sector om de capaciteiten voor vijandige verstoringen te vergroten. In combinatie met 2.1.3 en 2.1.5 is dit een argument voor het vergroten van de capaciteit, tempo en intensiteit van vijandige verstoringen.
Voltooiingsdatum: 2Q FY24
2.4.1 Publiceer een Voorstel voor Regelgeving over vereisten, normen en procedures voor Infrastructure-as-a-Service (IaaS) aanbieders en wederverkopers
Gevolg: De NPR is gericht op het verduidelijken van vereisten voor ‘vrijstellingen’ van normen en procedures en is van toepassing op IaaS.
Voltooiingsdatum: 2Q FY23
3.2.1 Implementeer de Federal Acquisition Regulation (FAR) vereisten volgens de Cybersecurity Improvement Act van 2020 voor Internet of Things (IoT)
Gevolg: Wijzigingen in FAR zullen vereisten opzetten voor IoT-apparaten die aan federale instanties worden verkocht.
Voltooiingsdatum: 4Q FY23
3.3.1 Onderzoek benaderingen om een langetermijn-, flexibele en duurzame aansprakelijkheidsstructuur voor software te ontwikkelen
Gevolg: De verschuiving in aansprakelijkheid voor software is een van de meest gevreesde aspecten van de Cybersecurity Strategie van 2023. Dit initiatief nodigt deelnemers zoals de academische wereld en regelgevende instanties uit om opties te verkennen voor het implementeren van een dergelijke verschuiving. Tegelijkertijd vragen we ons af waarom het bijna een jaar duurt.
Voltooiingsdatum: 2Q FY24
3.3.2 Bevorder de software-bill of materials (SBOM) en verlaag het risico van niet-ondersteunde software
Gevolg: Het initiatief wil SBOM-schaal en implementatiekloven identificeren en verminderen en samenwerken met de internationale gemeenschap om een wereldwijd toegankelijke database voor software met het einde van de levensduur/ondersteuning te creëren.
Voltooiingsdatum: 2Q FY25
3.3.3 Gecoördineerde kwetsbaarheid openbaarmaking
Gevolg: Gecoördineerde kwetsbaarheid openbaarmaking is tegenwoordig een ad-hoc praktijk. CISA zal werken aan het opbouwen van ondersteuning voor een verwachting van gecoördineerde kwetsbaarheid openbaarmaking onder publieke en private entiteiten. Dit resulteert waarschijnlijk in een set van aanbevelingen die de private sector kan aannemen.
Voltooiingsdatum: 4Q FY25
3.4.3 Prioritize cybersecurity research, development, and demonstration of social, behavioral, and economic research in cybersecurity
Gevolg: De National Science Foundation zal prijzen toekennen voor onderzoek dat gerelateerd is aan cybersecurity.
Voltooiingsdatum: 4Q FY24
3.5.1 Implementeer de wijzigingen in de Federal Acquisition Regulation (FAR) zoals vereist volgens EO 14028
Gevolg: Dit is de BELANGRIJKE. Wijzigingen in FAR zullen de eisen van EO14028 formaliseren ten opzichte van federale acquisitie. Daarom zou de industrie actief moeten deelnemen aan de publieke commentaarperiode.
Voltooiingsdatum: 1Q FY24
4.1.2 Bevorder de beveiliging van open-source software en de adoptie van geheugenveilige programmeertalen
Gevolg: Initiatieven voor de beveiliging van open-source software (OS3I) zullen worden opgericht om de adoptie van geheugenveilige talen te bevorderen en de beveiligingsbasislijn van het open-source software ecosysteem te verhogen.
Voltooiingsdatum: 1Q FY24
4.1.5 Werk samen met belangrijke belanghebbenden om veilige Internet-routering te stimuleren
Gevolg: Een routekaart om de adoptie van veilige Internet-routeringstechnieken te vergroten, inclusief identificatie van uitdagingen, routering en BGP-zorg, het creëren van best practices en het identificeren van gerelateerde onderzoekgebieden.
Voltooiingsdatum: 3Q FY24
Conclusie
Het Witte Huis blijft zijn toewijding tonen aan het prioriteren van de Nationale Cyberbeveiliging, en de implementatie is aan de gang. Het Implementatieplan biedt een kans om het Nationale Plan en de implicaties ervan voor de particuliere industrie en het open source-ecosysteem te begrijpen.