ลำดับเวลาอาจเข้มงวดและข้อกำหนดอาจมีรายละเอียดและมีความยาว แต่ฝ่ายบริหารของ Biden กล่าวว่าคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ล่าสุดของประธานาธิบดีทำให้เกิด “ความตื่นตระหนกที่จำเป็นต่อระบบ” เพื่อช่วยให้หน่วยงานต่าง ๆ จัดการกับพื้นฐานของการรักษาความปลอดภัยเครือข่ายของตนการรักษาความปลอดภัยของแอปพลิเคชันซอฟต์แวร์ที่หน่วยงานใช้เป็นจุดสนใจหลักของ EO นั้น ซึ่งประธานาธิบดีโจ ไบเดนลงนามกลับมาในเดือนพฤษภาคม
เมื่อสัปดาห์ที่แล้วฝ่ายบริหารของ Biden ได้ออกแนวทางปฏิบัติใหม่
ให้กับหน่วยงาน โดยให้เวลา 60 วันในการระบุซอฟต์แวร์ที่สำคัญในองค์กร 12 ประเภท และอีก 12 เดือนในการดำเนินการปกป้องซอฟต์แวร์ที่สำคัญจาก National Institute of Standards and Technology
“ในอีกหลายเดือนข้างหน้า เราจะพยายามปรับปรุงและขยายทรัพยากรเหล่านี้เพื่อตอบสนองความต้องการเฉพาะของ EO และความต้องการของนักพัฒนาซอฟต์แวร์และผู้ใช้จริงๆ” Kevin Stine หัวหน้าที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ของหน่วยงานกล่าว วันอังคารที่ประชุมคณะกรรมการที่ปรึกษาด้านความมั่นคงแห่งชาติด้านโทรคมนาคมของประธานาธิบดี “เราทราบดีว่าเส้นเวลานั้นรุนแรง แต่ฉันคิดว่าเป็นไปได้มาก”
ข้อมูลเชิงลึกโดย Sumo Logic: ในการสัมมนาทางเว็บฉบับพิเศษของ Ask the CIO เจสัน มิลเลอร์และแขกรับเชิญของเขา เจฟฟ์ ชิลลิงจากสถาบันมะเร็งแห่งชาติและจอร์จ เกอร์โชวแห่งซูโมลอจิกจะเจาะลึกว่าการจัดการข้อมูลและระบบคลาวด์ขับเคลื่อนกลยุทธ์การปรับปรุงไอทีให้ทันสมัยที่ National Cancer ได้อย่างไร สถาบัน.
NIST มีหน้าที่ความรับผิดชอบที่หลากหลายภายใต้ EO
ทางไซเบอร์ใหม่ ซึ่งรวมถึงการพัฒนาคำจำกัดความที่สำคัญของซอฟต์แวร์ซึ่งดำเนินการในเดือนมิถุนายน และ มาตรการรักษาความปลอดภัย สำหรับแอปพลิเคชันเหล่านั้น ซึ่งบรรลุผลสำเร็จในเดือนกรกฎาคม
ซอฟต์แวร์ที่สำคัญตามที่ NIST กำหนดเมื่อเร็วๆ นี้ อย่างน้อยควรมีการพึ่งพาโดยตรงกับหนึ่งในหลายๆ คอมโพเนนต์ที่มีแอตทริบิวต์ไม่กี่อย่าง รวมถึงคอมโพเนนต์ที่ดำเนินการ “ฟังก์ชันที่มีความสำคัญต่อความน่าเชื่อถือ”
ภาษาใน EO ไซเบอร์ใหม่และในคำจำกัดความซอฟต์แวร์ที่สำคัญใหม่ของ NIST นั้นคลุมเครือ Stine รับทราบ
“ในบริบทของ EO นั้น สิ่งสำคัญไม่ได้ขึ้นอยู่กับบริบทของการใช้งานมากนัก แต่ขึ้นอยู่กับคุณสมบัติเหล่านี้ของซอฟต์แวร์แต่ละชิ้นที่ทำให้มีความสำคัญในกรณีส่วนใหญ่” เขากล่าว “นั่นคือเลนส์ที่แตกต่างกันเล็กน้อยสำหรับเราในการมองผ่านและเข้าถึงคำจำกัดความ แต่ฉันยังพูดถึงความท้าทายในการเปลี่ยนความคิดเล็กน้อยเกี่ยวกับวิธีที่องค์กรต่างๆ อาจมองว่าสำคัญในปัจจุบัน”
หน่วยงานต่างๆ จะนำแนวทางซอฟต์แวร์ที่สำคัญฉบับใหม่และข้อกำหนดอื่นๆ ไปใช้ในลักษณะที่เป็นระยะๆ ซึ่ง Stine กล่าวว่าจะช่วยให้ NIST และหน่วยงานอื่นๆ สามารถรวบรวมข้อเสนอแนะเกี่ยวกับกระบวนการจากทั้งภาครัฐและภาคอุตสาหกรรม รวมทั้งทบทวนและปรับแต่งไปพร้อมกัน
“ในขณะที่เราเรียนรู้ผ่านการปฏิบัติจริงของบทบัญญัติต่างๆ ของ EO ตลอดจนแนวปฏิบัติและแนวปฏิบัติอื่นๆ เราจะปรับปรุงทรัพยากรพื้นฐานเหล่านั้น” Stine กล่าว “เราจะผลิตเครื่องมือที่ดีขึ้น — เรารวมกันเป็นชุมชนที่มีส่วนร่วมของอุตสาหกรรมหนักที่นี่ — ปรับแต่งวิธีการพัฒนาในลักษณะซ้ำๆ เพื่อให้เราสามารถปรับปรุงสิ่งเหล่านั้นได้อย่างต่อเนื่อง”
OMB กล่าวว่าขั้นตอนต่อไปของการติดตั้ง EO จะเกิดขึ้นเมื่อ CISA อัปเดตรายการซอฟต์แวร์ที่สำคัญ และ NIST จะเผยแพร่คำแนะนำใหม่เพื่อรักษาความปลอดภัย
เพื่อให้เป็นไปตามข้อกำหนดเหล่านี้ บริษัทซอฟต์แวร์ต่างกังวลว่าพวกเขาจะมีระเบียบการปฏิบัติตามข้อกำหนดใหม่ทั้งหมดเพื่อให้สอดคล้อง นอกเหนือจากแผนการรับประกันที่พวกเขามีอยู่แล้ว
