资料来源:Biden EO草案需要许多软件供应商通知其联邦政府。 网络安全的客户漏洞和保存伴随数据日志

2021-03-26 20:23:37

根据路透社的草案,旧金山/华盛顿州(路透社) - 计划拜登行政司令部将要求许多软件供应商在公司拥有网络安全漏洞时向其联邦政府客户通知他们的联邦政府客户。

国家安全委员会发言人表示,在执行命令的最终内容上没有决定。订单可以早在下周释放。

在12月来光明的Solarwinds Corp Hack表明“联邦政府需要能够调查和审理其在早期和快速为美国人民提供美国人民的服务的威胁。简单地说,你无法解决你不知道的东西,“发言人说。

在Solarwinds案例中,涉嫌为俄罗斯政府工作的黑客渗透其网络管理软件并添加了允许黑客在最终用户身上间谍的代码。

黑客渗透了九个联邦机构,100家公司,包括Microsoft Corp和其他主要科技公司。

拟议的命令将采用安全专家寻求的措施,包括需要多因素认证和联邦机构中数据加密。

该命令将对认为关键的方案施加额外的规则,例如要求“软件材料”阐明内部的内容。越来越多的软件激活其他程序,扩大隐藏漏洞的风险。

通知要求将具有最直接的影响。该规则旨在覆盖不披露的协议,供应商表示有限的信息共享,并允许官员查看更多的入侵。

该订单还将强迫供应商保留更多数字记录,并与FBI和国土安全部的网络安全和基础设施安全机构一起享受CISA,在回应事件时。

在实践中,通过对联邦收购规则的更新发生变化。熟悉计划的人表示,销售给政府的主要软件公司将受到Microsoft和Salesforce的影响,将受到改变的影响。

在过去,国会试图建立国家数据违约通知法,而是由于行业抵抗而失败。这样的条例草案将有义务经历黑客以通过政府机构公开披露他们的公司。

如果靠近草案表格最终确定,执行命令将部分达到广泛的披露目标。还可以介绍关于公开披露的新法律。

订单草案还将创建一个网络安全事件响应委员会,来自联邦机构和网络安全公司的代表。论坛将鼓励供应商和受害者分享信息,也许是奖励和责任保护的组合。