拜登签署EO以加强美国网络防御，包括开发向政府销售的软件公司的网络安全标准

拜登总统周三签署了一项行政命令，旨在支撑联邦政府的数字防御作为他的行政困境，包括网络安全危机，包括造成气体短缺的主要燃料管道上的赎金软件罢工。

竞标时间不到四个月，拜登必须回应俄罗斯网络间谍活动，影响九个联邦机构和约100家美国公司，以及中国网络攻击活动，这些活动损害了数万名使用的小型和中型公司Microsoft Exchange电子邮件服务器。

星期六，殖民地管道承认，它已将受害者占据了赎金软件攻击，使其关闭它 - 美国能源部门最大的已知网络攻击。攻击导致了美国东南部的泵的长线。

执行订单并没有特别解决石油和天然气管道等关键基础设施。但它将商务部指示为向联邦政府销售软件服务的公司来制作网络安全标准 - 官员表示希望他们希望在全国和全球范围内涟漪，并改善关键系统的网络安全。

“殖民地管道事件是一个提醒人们单独的联邦行动是不够的，”白宫在一份声明中表示。一位高级政府官员表示，提供水和权力的关键系统由私营部门拥有。

“我们根本无法让等待下一个事件发生在恰好是我们经营的现状，”官方说，他在白宫设定的地面规则下匿名的条件说话。

该命令还将机构指导转向一种数字安全方法，从而强调基于行为的验证用户而不是密码或其位置。它将使用多种方式来确认身份并通过异常行为来检测网络威胁，而不是主要取决于防火墙以防止黑客。

34页的文件 - 对于执行订单异常长期以来，呼吁在三天内报告严重的网络事件，建立董事会审查重大事件，删除报告联邦机构违约的合同障碍，并加强计划这允许联邦机构在销往政府之前测试产品的安全性。它还明确表示承包商需要向联邦机构向管理和预算办公室报告联邦机构的事件以及国土安全部的网络安全和基础设施安全局（CISA）。

“这是几十年来管理局中最雄心勃勃的网络安全努力，”阿里·施瓦茨说，他是奥巴马政府的白宫网络官员。

“在这么多的计算机安全领域，联邦政府首先是私营部门所做的，”律师事务所的网络安全政策董事总经理施瓦茨表示。 “联邦政府在这里要求的是什么可能成为向前移动的软件的标准 - 而不仅仅在美国，而且在国际上。”

在俄罗斯妥协之后，在俄罗斯妥协的后果中制定了命令，该公司在一个软件公司之后被命名为Solarwinds，该公司被黑客污染的软件公司，然后使用该软件在联邦机构和私营部门目标中获得立足点。这被称为“供应链”攻击。

该订单呼吁商务部全国标准和技术研究所（NIST）在六个月内发布初步指南，以便在软件供应链安全和一年内的最终指南。指导应包括如何检查漏洞，如何查找缺陷的证据，确保源代码的最新出处，以及使用自动工具验证可信源代码的说明书等。

NIST还必须定义“关键软件”，并要求机构采取此类软件的安全措施。该命令为顶级官员提供，包括国土安全部长和国防部长，一年来草案，最终将通过收购规则符合这些标准来遵守民用和军事承包商。

高级官员说，政府称，“试图使用联邦采购的力量来塑造软件市场。”

CISA已经是协调文职机构的网络安全的主要机构。该订单扩展了其职责，包括为云安全和改进的信息共享提供设计框架。许多机构将被要求向CISA报告其遵守新要求。

设定软件安全标准表示，菲尔威廉州谷歌云的首席信息安全官员“将是随着时间的推移是最重要的，因为它将迎来政府最大的网络安全挑战的核心：信息技术现代化和多样化的需求。”

他说这是“将产生最大影响的措施之一，但可能是最难实现的。”但这是“至关重要的，”他说，“捍卫攻击者的攻击，越来越集中。”

该订单旨在将软件行业推动远离第一和稍后修补的模型。该官员表示，该方法导致了顾客，包括政府，在内，不知不觉地安装具有大量漏洞的软件。

“我们从不买一个家庭Minivan，知道它可能会有可能致命的缺陷，期望回忆或决定之后是否要为安全带或气囊支付，”官方表示。 “今天，网络安全是一个全国安全的必要性和经济势令。”

当天最重要的新闻故事，由邮政编辑策划并每天早上交付。