사이버 보안에 대한 Biden의 행정 명령에서 '중요' 소프트웨어는 무엇을 구성합니까?
바이든 대통령의 지시에 따라 국립 표준 기술 연구소(National Institute of Standards and Technology)는 최근 공급망 내에서 흔히 볼 수 있는 "중요한" 소프트웨어 구성 요소에 대한 업데이트된 정의를 발표했습니다. 그러나 한 사이버 보안 전문가에 따르면 언어에 이상한 누락이 있음을 보여줍니다.
제공업체 Finite State의 법률 고문인 Eric Greenwald는 NIST가 국가의 중요한 공급망을 검토하고 보호하기 위해 행정부의 행정 명령의 초기 구현 단계에 사이버 보안 기술의 어떤 측면을 포함해야 하는지 제안할 때 임베디드 소프트웨어 및 펌웨어 구성 요소를 제외한다고 말했습니다. 연결된 장치 보안 시스템의 수.
그러한 구성 요소가 종종 IT 보안에 "중요"하다는 점을 인정합니다. 그럼에도 불구하고 NIST는 이러한 시스템이 본질적으로 너무 복잡하여 행정부의 노력의 초기 구현 단계에 포함될 수 있다고 제안합니다.
NIST는 CISA(Cybersecurity &Infrastructure Security Agency), 관리예산실, 국가정보국장실, 국가안보국(National Security Agency)을 비롯한 수많은 다른 기관의 의견을 반영하여 정의를 조정했다고 밝혔습니다. 국토안보부 소속인 CISA는 NIST의 발견을 바탕으로 검토의 첫 번째 단계 범위에 속하는 자체 소프트웨어 범주 목록을 고안할 것입니다.
임베디드 소프트웨어와 펌웨어(장치 하드웨어에 대한 기본적이고 낮은 수준의 제어)가 너무 복잡하여 즉시 채택할 수 없다는 NIST의 주장은 "자주 묻는 질문(FAQ)"에 대한 답변에 포함되어 있습니다. 그러나 Greenwald는 짧은 성명서에 당황했다고 말합니다.
그는 NIST 정의가 "단순히 클라우드 기반이 아니라 장치에 있기 때문에" 방화벽과 같은 진정으로 중요한 요소를 제외하는 효과가 있을 수 있다고 주장하면서 "그게 무슨 의미인지 모르겠습니다"라고 말했습니다. 피>
Greenwald는 NIST가 장치의 칩셋에 내장된 소프트웨어를 처음에는 포함하지 않는 것을 선호할 수 있음을 알고 있습니다. “하지만 운영 체제나 응용 프로그램 계층 소프트웨어에 대해 이야기할 때 범주에서 제외한다는 것은 이해가 되지 않습니다. 펌웨어가 아닌 장치 소프트웨어 간에 의미 있는 구분을 어떻게 이끌어 낼 수 있는지 이해하기 어렵습니다.”
"복잡성"은 구별을 정당화할 수 없다고 그는 말합니다. "복잡할수록 더 높은 수준의 보안 표준을 적용하는 것이 더 중요하다고 생각합니다."
NIST가 임베디드 소프트웨어와 펌웨어에 선을 그을 수 있는 동기는 행정부 명령의 초기 구현 단계에서 "씹을 수 있는 것보다 더 많이 물어뜯지 않으려는" 욕망 때문이라고 Greenwald는 인정합니다. 무엇이 중요한 소프트웨어를 구성하는지에 대한 정의를 지나치게 확장함으로써, 기관은 민간 기술 회사가 연방 정부 조달에 참여하는 것을 단념시킬 위험이 있습니다. 하지만 그렇다고 해서 그러한 종류의 소프트웨어를 조기 조치에서 제외할 정당한 이유는 아니라고 그는 말합니다.
어떤 사람들에게는 이러한 구분이 학문적으로 보일 수 있지만, 이는 정부와 민간 부문 모두에 핵심 보안 시스템을 공급할 수 있는 기술 제공업체의 핵심입니다. 국방부는 최근 사이버 보안 성숙도 모델 인증을 발행하여 자체 조달 표준을 강화했습니다. CMMC는 적격 계약자가 DOD에 소프트웨어를 판매하기 위해 제3자 인증을 획득하도록 규정하고 있습니다.
Greenwald는 엄격한 규정 준수 이니셔티브에서 수십만 계약자를 즉시 쓸어버리는 체제를 도입할 가능성을 보고 있습니다. 그는 “정확히 누가 이 문제의 대상이 되어야 하는지에 대한 질문이 있습니다.”라고 말합니다. "명확성의 부족은 악마입니다."
그러나 NIST가 임베디드 소프트웨어와 기업을 공급망 붕괴에 대해 새로 임명된 Biden의 태스크포스가 즉각적인 주의를 기울여야 하는 중요한 요소로 명백히 기각하는 것과 관련하여 명확성의 부족은 Greenwald의 우려이기도 합니다. 그는 기관이 곧 의도를 명확히 하거나 CISA가 해당 소프트웨어의 최종 목록에 분쟁 범주를 포함하기로 결정하기를 희망합니다.
그럼에도 불구하고 두 기관이 행정 명령의 1단계를 위해 해당 구성 요소를 계속해서 넘긴다면 "나는 그것들이 2단계에 포함될 것이라고 확신합니다"라고 Greenwald는 말합니다. 그것들을 모두 생략하면 모든 종류의 사이버 위협으로부터 시스템을 보호하려는 노력이 심각하게 위태로워질 것입니다.