Exklusiv: Softwareanbieter müssten Verstöße gegen Benutzer der US-Regierung unter der neuen Reihenfolge: Entwurf offenlegen

SAN FRANCISCO / WASHINGTON (wire.) – Nach einem geplanten Entwurf, müssen viele Softwareanbieter ihre Kunden der US-Bundesregierung benachrichtigen, wenn die Unternehmen einen Verstoß gegen die Cybersicherheit haben.

Eine Sprecherin des Nationalen Sicherheitsrates sagte, es sei keine Entscheidung über den endgültigen Inhalt der Exekutivverordnung getroffen worden. Die Bestellung könnte bereits nächste Woche veröffentlicht werden.

Der im Dezember bekannt gewordene Hack von SolarWinds Corp zeigte: „Die Bundesregierung muss in der Lage sein, Bedrohungen für die Dienste, die sie dem amerikanischen Volk bietet, frühzeitig und schnell zu untersuchen und zu beseitigen. Einfach ausgedrückt, Sie können nicht reparieren, was Sie nicht wissen “, sagte die Sprecherin.

Im Fall SolarWinds infiltrierten Hacker, die verdächtigt werden, für die russische Regierung zu arbeiten, ihre Netzwerkverwaltungssoftware und fügten Code hinzu, mit dem die Hacker Endbenutzer ausspionieren konnten.

Die Hacker drangen in neun Bundesbehörden und 100 Unternehmen ein, darunter Microsoft Corp und andere große Technologieunternehmen.

Die vorgeschlagene Verordnung würde Maßnahmen ergreifen, nach denen Sicherheitsexperten seit langem gesucht haben, einschließlich der Forderung nach einer Multi-Faktor-Authentifizierung und Verschlüsselung von Daten innerhalb von Bundesbehörden.

Die Anordnung würde zusätzliche Regeln für Programme auferlegen, die als kritisch eingestuft werden, beispielsweise die Anforderung einer „Software-Stückliste“, in der dargelegt wird, was sich darin befindet. Eine zunehmende Menge an Software aktiviert andere Programme und erhöht das Risiko versteckter Schwachstellen.

Die Benachrichtigungspflicht hat die unmittelbarsten Auswirkungen. Die Regel zielt darauf ab, Geheimhaltungsvereinbarungen außer Kraft zu setzen, von denen Anbieter sagten, dass sie den Informationsaustausch einschränken, und den Beamten zu ermöglichen, mehr Eingriffe anzuzeigen.

Die Anordnung würde die Anbieter auch dazu zwingen, mehr digitale Aufzeichnungen aufzubewahren und mit dem FBI und der als CISA bekannten Agentur für Cybersicherheit und Infrastruktursicherheit des Heimatschutzministeriums zusammenzuarbeiten, wenn sie auf Vorfälle reagieren.

In der Praxis werden die Änderungen durch Aktualisierungen der bundesstaatlichen Erwerbsregeln erfolgen. Große Softwareunternehmen, die an die Regierung verkaufen, wie Microsoft und SalesForce, werden von der Änderung betroffen sein, so die mit den Plänen vertrauten Personen.

In der Vergangenheit hat der Kongress versucht, ein nationales Gesetz zur Meldung von Datenschutzverletzungen einzuführen, ist jedoch aufgrund des Widerstands der Industrie gescheitert. Eine solche Gesetzesvorlage hätte Unternehmen, die Hacks erleben, verpflichtet, diese über Regierungsbehörden öffentlich bekannt zu geben.

®2021 nerds mit reuters

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy