NIST lança software para orientação de Cibersegurança em dispositivos IoT

A nova orientação visa reforçar os requisitos de segurança para softwares adquiridos pelo governo federal e fornecer aos consumidores uma melhor visão sobre a segurança do software e dos dispositivos que compram.

A nova orientação visa reforçar os requisitos de segurança para softwares adquiridos pelo governo federal e fornecer aos consumidores uma melhor visão sobre a segurança do software e dos dispositivos que compram.

Em 4 de fevereiro, o Instituto Nacional de Padrões e Tecnologia (NIST) emitiu vários documentos e atualizações que descrevem orientações de segurança de software e práticas recomendadas de rotulagem do consumidor para software e dispositivos IoT. O NIST também apresentou sua abordagem aos projetos de rotulagem de segurança cibernética do consumidor.

Essas iniciativas foram ordenadas pela ampla Ordem Executiva (EO) do presidente dos Estados Unidos, Joe Biden, emitida em maio passado. Eles pretendem apertar os requisitos de segurança do governo federal para os produtos de software que compra, esperando que os benefícios também fluam para o setor privado. As iniciativas de rotulagem visam fornecer aos consumidores mais informações sobre a segurança do software e dos dispositivos que compram e, estimular maior transparência por parte dos fabricantes de software de consumo e dispositivos IoT.

Orientação de segurança para a cadeia de suprimentos de software e SSDF atualizado

O primeiro documento articula como aumentar a segurança da cadeia de fornecimento de software conforme indicado no EO. Essa orientação segue um turbilhão de atividades do NIST para cumprir o prazo do EO, incluindo solicitar documentos de posição da comunidade, realizar um workshop virtual em junho e um segundo workshop virtual em novembro, consultar outras agências federais e revisar as orientações federais existentes.

A ordem pedia ao NIST que produzisse orientações para funcionários de agências federais que têm responsabilidades relacionadas à aquisição de software e destina-se a ajudar funcionários de agências federais a saber quais informações solicitar aos produtores de software sobre suas práticas seguras de desenvolvimento de software. O novo documento do NIST estabelece recomendações mínimas para as agências federais seguirem à medida que adquirem software ou um produto contendo software.

Além disso, a ordem também instruiu o NIST a definir ações ou resultados para produtores de software, como fornecedores de produtos comerciais prontos para uso (COTS), desenvolvedores de software prontos para uso do governo, contratados e outros desenvolvedores de software personalizados. Para realizar essa tarefa, o NIST atualizou seu Secure Software Development Framework (SSDF) preexistente, que já contemplava a maioria das atribuições relevantes contidas no EO.

O NIST observa que sua orientação se limita à aquisição de software por agências federais, que inclui firmware, sistemas operacionais, aplicativos e serviços de aplicativos (como software baseado em nuvem), bem como produtos que contêm software. O software desenvolvido por órgãos federais está fora do escopo, assim como o software de código aberto obtido de forma livre e direta por órgãos federais. O software de código aberto que é empacotado, integrado ou usado de outra forma por software adquirido por uma agência federal está no escopo.

De acordo com o cronograma do EO, até 6 de março, o Office of Management and Budget (OMB) deve tomar as medidas apropriadas para exigir que as agências cumpram essas diretrizes em relação ao software adquirido após a data deste pedido. Até 12 de maio de 2023, o secretário de segurança interna, em consulta com o secretário de defesa, o procurador-geral, o diretor da OMB e o administrador do Escritório de Governo Eletrônico da OMB, recomendará ao Federal Acquisition Regulatory (FAR) Council, que coordena as aquisições em todo o governo, linguagem contratual que exige que os fornecedores de software disponível para compra por agências cumpram e atestem o cumprimento de quaisquer requisitos emitidos sob estas diretrizes.

A nova orientação visa reforçar os requisitos de segurança para softwares adquiridos pelo governo federal e fornecer aos consumidores uma melhor visão sobre a segurança do software e dos dispositivos que compram.

Rotulagem de Cibersegurança para software de consumo

Outro documento que o NIST divulgou na semana passada é Critérios recomendados para rotulagem de segurança cibernética de software de consumo. O EO orientou o NIST, em coordenação com a Federal Trade Commission (FTC) e outras agências, a iniciar programas piloto para rotulagem de segurança cibernética. Esses programas de rotulagem destinam-se a educar o público sobre os recursos de segurança das práticas de desenvolvimento de software.

O documento emitido pelo NIST faz recomendações sobre o papel do proprietário de um esquema em um programa de rotulagem, critérios técnicos básicos que podem informar um rótulo, critérios de apresentação de rotulagem e critérios de avaliação de conformidade. Este documento também explora a educação do consumidor e a usabilidade para rótulos de software.

O objetivo deste documento é orientar os fornecedores de software sobre como transmitir aos consumidores que “boas práticas para desenvolvimento de software seguro foram empregadas durante o ciclo de vida do software e que a arquitetura de software, funcionalidade e outros atributos relacionados à segurança seguem critérios técnicos básicos. ”

Rotulagem de Cibersegurança para produtos IoT de consumo

O EO pediu ao NIST que desenvolvesse critérios para um programa de rotulagem do consumidor para produtos da Internet das Coisas (IoT). De acordo com o EO, os “critérios devem considerar se tal programa de rotulagem do consumidor pode ser operado em conjunto ou modelado após quaisquer programas governamentais existentes semelhantes e consistentes com a lei aplicável”.

Com base em seu trabalho existente sobre segurança cibernética de produtos IoT e notícias públicas recentes sobre produtos IoT comprometidos e suas vulnerabilidades, o NIST emitiu versões preliminares dos critérios em 31 de agosto e 3 de dezembro de 2021. Os documentos estavam disponíveis para feedback da comunidade em workshops em 14 de setembro e 9 de dezembro de 2021, e por escrito.

Com base nessa atividade, o NIST decidiu que os critérios do produto deveriam ser expressos como resultados em vez de declarações específicas sobre como alcançá-los. Além disso, o NIST concluiu que nenhuma abordagem única de avaliação da conformidade é apropriada, dada a variedade de maneiras pelas quais esses critérios básicos podem ser aplicados a uma ampla gama de produtos. Por fim, o NIST determinou que um único rótulo binário, como um selo de aprovação, indicando que um produto atendeu a um padrão básico, é provavelmente o mais apropriado, juntamente com uma abordagem em camadas que leva os consumidores interessados a detalhes adicionais on-line.

Pilotos de rotulagem de Cibersegurança do consumidor: abordagem e feedback

Por fim, o NIST divulgou seus pensamentos sobre como conduzirá projetos-piloto em rótulos de software e IoT, dados os critérios definidos. O EO instruiu o NIST “a conduzir pilotos com base nos critérios publicados e, dentro de um ano da data do pedido, realizar uma revisão dos programas-piloto, consultar o setor privado e agências relevantes para avaliar a eficácia dos programas, determinar quais melhorias podem ser feitas daqui para frente, e apresentar um relatório resumido”.

O NIST determinou que não projetará um rótulo específico como parte do piloto. Em vez disso, o piloto consistirá em que o NIST busque contribuições das partes interessadas em relação aos esforços de rotulagem atuais ou potenciais futuros para produtos de IoT e software de consumo e como esses esforços se alinham às recomendações do NIST.

Para este fim, o NIST está pedindo contribuições para o piloto e busca informações sobre se os esquemas de rotulagem existentes estão alinhados com as recomendações do NIST e se as organizações que atualmente não operam esquemas de rotulagem estariam interessadas em estabelecer novos programas com base nas recomendações do NIST, entre outros tópicos. As contribuições para o piloto devem ser enviadas até 15 de março de 2022.

Fonte: www.csoonline.com

Posts relacionados: NIST – Estrutura de Gerenciamento de Risco / NIST apresenta Framework para Desenvolvimento Seguro de Software e NIST – Draft do Framework de Segurança Cibernética para Gerenciamento de Riscos de Ransomware