Badan-badan federal terus menerapkan strategi keamanan siber mereka 18 bulan setelah Administrasi Biden mengeluarkan perintah eksekutifnya untuk memperkuat pertahanan pemerintah.
Baru-baru ini, Pentagon minggu ini menguraikan strategi tanpa kepercayaannya (PDF) sementara Cybersecurity and Infrastructure Security Agency (CISA) memperbarui kerangka kerja ketahanan infrastrukturnya untuk memandu entitas negara bagian, lokal, dan kesukuan saat mereka merencanakan upaya keamanan siber mereka.
Selain itu, Dewan Industri Teknologi Informasi (ITI), sebuah grup perdagangan teknologi, meminta Kantor Manajemen dan Anggaran (OMB) Gedung Putih untuk mengklarifikasi rekomendasinya untuk mengamankan praktik pengembangan perangkat lunak.
Ini semua adalah hasil dari benih yang ditanam Presiden Biden pada Mei 2021 memanggil baik lembaga pemerintah maupun perusahaan swasta untuk meningkatkan kemampuan mereka dalam menghadapi meningkatnya ancaman ransomware, serangan rantai pasokan, dan bahaya digital lainnya.
Arsitektur tanpa kepercayaan – gagasan tentang siapa pun, perangkat, atau aplikasi yang mencoba mengakses jaringan tidak dapat dipercaya sampai diautentikasi dan diverifikasi – adalah elemen inti. OBM pada bulan Januari mengeluarkan memo yang meminta semua departemen pemerintah untuk menuju ke arah itu. Rilis strategi dan roadmap Departemen Pertahanan adalah bagian dari upaya tersebut.
DoD ingin menempatkan kerangka kerja tanpa kepercayaan sepenuhnya pada tahun 2027 dan strategi tersebut mencakup empat tujuan yang mencakup memastikan bahwa personel mengetahui dan dilatih untuk tanpa kepercayaan dan bahwa semua sistem informasi dicakup olehnya. Pentagon juga ingin memastikan semua teknologi terkait mengimbangi inovasi industri dan bahwa kebijakan dan pendanaan sesuai dengan pendekatan tanpa kepercayaan.
Dalam pengenalan strateginya, DoD mencatat bahwa sistemnya berada di bawah “serangan berskala luas dan terus-menerus” dari kelompok ancaman, terutama dari China dan negara-negara lain, yang “sering melanggar perimeter pertahanan Departemen dan berkeliaran dengan bebas di dalam sistem informasi kami. . Departemen harus bertindak sekarang.”
“Urgensi ini berarti bahwa kolega kita, prajurit kita, dan setiap anggota DoD harus mengadopsi pola pikir Zero Trust, terlepas dari apakah mereka bekerja di bidang teknologi atau keamanan siber atau departemen Sumber Daya Manusia,” tulis CIO DoD John Sherman. “Pola pikir ‘jangan pernah percaya, selalu verifikasi’ ini mengharuskan kami bertanggung jawab atas keamanan perangkat, aplikasi, aset, dan layanan kami.”
Pentagon sebelumnya telah merilis arsitektur referensi tanpa kepercayaan dan kemudian versi kedua pada bulan Juni. Mengungkap strategi dan peta jalan adalah langkah maju yang penting, menurut Steve Faehl, CTO keamanan federal di Microsoft.
Faehl mencatat dalam a posting blog bahwa jaringan pemerintah AS menghadapi hampir setengah dari semua serangan negara-bangsa yang terjadi dan bahwa pembaruan DoD minggu ini menawarkan kepada departemen dan mitra TI – seperti Microsoft – panduan yang lebih baik yang menyentuh 45 kemampuan dan 152 aktivitas.
“Sementara inisiatif Zero Trust telah berlangsung selama bertahun-tahun di berbagai departemen, strategi yang diperbarui ini berupaya menyatukan upaya untuk mencapai postur pertahanan yang kuat dan terbukti melawan taktik musuh,” tulisnya.
Untuk bagiannya, CISA awalnya meluncurkan Kerangka Perencanaan Ketahanan Infrastrukturnya pada tahun 2021 untuk memandu entitas saat mereka berupaya melindungi infrastruktur penting. Sekarang agensinya menawarkan pembaruan seperti Kumpulan Data untuk Infrastruktur Kritis untuk membantu mengidentifikasi lingkungan seperti itu, cara terbaik untuk menyatukan berbagai kelompok yang memiliki andil dalam upaya tersebut, dan cara yang direvisi untuk lebih memahami sistem infrastruktur.
Selain itu, kerangka kerja CISA sekarang mencakup lebih banyak informasi tentang kekeringan kode yang dapat terjadi pada infrastruktur penting.
Juga, dalam sembilan halaman suratnya tanggal 21 November (PDF), Gordon Bitko, wakil presiden eksekutif bidang kebijakan sektor publik ITI, mendorong Direktur OBM Shalanda Young untuk mengklarifikasi memonya pada tanggal 14 September (PDF) kepada kepala agen federal yang menguraikan langkah-langkah untuk melindungi dari serangan rantai pasokan perangkat lunak dengan memastikan praktik pengembangan perangkat lunak yang aman.
Memo OBM mengarahkan agensi untuk memastikan pembuat perangkat lunak memenuhi persyaratan seperti konsisten dengan pedoman NIST dan dengan meminta bukti dari vendor bahwa mereka mematuhi dengan meminta tagihan perangkat lunak sebelum menggunakan perangkat lunak.
Dalam suratnya, Bitko menulis bahwa memo tersebut, meskipun merupakan “tonggak penting”, menghalangi pembuat perangkat lunak dengan “terminologi yang ambigu, garis waktu yang membingungkan, dan potensi fragmentasi peraturan.”
“Kami khawatir permintaan ini akan diterapkan secara berbeda di seluruh pemerintahan, bahkan di dalam lembaga,” tulisnya. “Ini menciptakan ambiguitas dan pada akhirnya dapat menunda kemajuan menuju tujuan keamanan perangkat lunak penting pemerintah.”
Bitko merekomendasikan beberapa langkah yang harus diambil OBM, termasuk membuat formulir standar tunggal yang dapat digunakan semua agensi, menyesuaikan garis waktu implementasi, dan menguji coba bagian dari rencana sebelum membutuhkannya. ®