mboost-dp1
IT sikkerhed i USA
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Som den opmærksomme læser ved så har de føderale myndigheder i USA meget fokus på IT sikkerhed lige nu.
For lidt tid siden var de ude efter C/C++ som sprog p.g.a. risiko for memory håndterings fejl.
Nu bliver der stillet krav til IT leverandører om at de skal sikre software.
Specifikt skal de udfylde of aflevere denne her attest:
https://www.cisa.gov/sites/default/files/2024-03/S...
Så vidt jeg kan se så er den korte version:
- udviklingssystemer skal være sikre således at russiske/kinesiske hackere ikke kan installere malware i softwaren
- de skal scannee både egen software og tredie parts software inklusive open source for sikkerheds problemer
- de skal informere myndighederne omkring problemer
Og det er den administrerende direktør som skal skrive under på attesten. Ikke en eller anden IT sikkerhedsperson.
For lidt tid siden var de ude efter C/C++ som sprog p.g.a. risiko for memory håndterings fejl.
Nu bliver der stillet krav til IT leverandører om at de skal sikre software.
Specifikt skal de udfylde of aflevere denne her attest:
https://www.cisa.gov/sites/default/files/2024-03/S...
Så vidt jeg kan se så er den korte version:
- udviklingssystemer skal være sikre således at russiske/kinesiske hackere ikke kan installere malware i softwaren
- de skal scannee både egen software og tredie parts software inklusive open source for sikkerheds problemer
- de skal informere myndighederne omkring problemer
Og det er den administrerende direktør som skal skrive under på attesten. Ikke en eller anden IT sikkerhedsperson.
Det er det sædvanlige. Regulering intensiveres. Hvornår er det nogensinde sket at regulering afvikles i betydelig grad?
IT bevæger sig nu i retning af den medicinske verden hvor compliance cost er enorm. Små firmaer kaster håndklædet i ringen. De store firmaer får mindre konkurrence og skruer op for priserne. Innovation og nye smarte løsninger droppes.
"We are from the government, and we are here to help"
Løøøøøb
IT bevæger sig nu i retning af den medicinske verden hvor compliance cost er enorm. Små firmaer kaster håndklædet i ringen. De store firmaer får mindre konkurrence og skruer op for priserne. Innovation og nye smarte løsninger droppes.
"We are from the government, and we are here to help"
Løøøøøb
Med det rant ude af verdenen, så kan jeg godt fortælle lidt om hvad der sker når man går ned af denne vej. Jeg har arbejdet i medical device udvikling nogle år.
En dag kommer der en inspektør og banker på uanmeldt. Spørgsmålene bliver i stil med:
"Show me evidence updated virus scanning software was run regularly on the developer machines. No evidence that the scanning software was updated? How can you assert that you properly scanned for threats in those three months?"
"Show me the documented procedures for your IT security proffesionals, and evidence that they followed the procedures". "Show evidence that your staff is qualified and has up to date courses on ..." Osv.
"Did you vet the supplier of this third party library? Did you evaluate their suppliers? SHow me the procedure you follow to approve third party library suppliers, and evidence that you followed those procedures?" No? Well, how can we know that your third party libraries were safe to use???
Det er et horror show der dræber al glæde og motivation, og fjerner al lyst til at prøve nye spændende ting, for man "må" som hovedregel ikke prøve nye spændende ting.
En dag kommer der en inspektør og banker på uanmeldt. Spørgsmålene bliver i stil med:
"Show me evidence updated virus scanning software was run regularly on the developer machines. No evidence that the scanning software was updated? How can you assert that you properly scanned for threats in those three months?"
"Show me the documented procedures for your IT security proffesionals, and evidence that they followed the procedures". "Show evidence that your staff is qualified and has up to date courses on ..." Osv.
"Did you vet the supplier of this third party library? Did you evaluate their suppliers? SHow me the procedure you follow to approve third party library suppliers, and evidence that you followed those procedures?" No? Well, how can we know that your third party libraries were safe to use???
Det er et horror show der dræber al glæde og motivation, og fjerner al lyst til at prøve nye spændende ting, for man "må" som hovedregel ikke prøve nye spændende ting.
#2
Som jeg har forstået det er det ikke tale om regulering aka at staten siger til firma XYZ at de skal opfylde visse krav inden de må sælge til kunderne A, B og C fordi staten ikke tror at kunderne selv vil stille de krav. Men det er leverandørkrav aka at staten siger til firma XYZ at de kun vil købe produkter som opfylder visse krav.
Som jeg har forstået det er det ikke tale om regulering aka at staten siger til firma XYZ at de skal opfylde visse krav inden de må sælge til kunderne A, B og C fordi staten ikke tror at kunderne selv vil stille de krav. Men det er leverandørkrav aka at staten siger til firma XYZ at de kun vil købe produkter som opfylder visse krav.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.