Az előző posztokban (itt és itt) a május 12-ei elnöki rendelet, valamint az ezzel foglalkozó CSIS esemény volt a téma. Ennek Anne Neuberger, a nemzetbiztonsági tanácsadó kibernetikai és új technológiákért felelős helyettese volt a vendége.
A szakértők az elhangzottakra általában támogatóan reagáltak. Néhány főbb gondolatuk:
- Egyfelől az amerikai kormány hatalmas hajóként csak lassan fordul. De másfelől még egy kis pályakorrekcióknak is óriási hatása lehet. Ilyen lehet pl. a szövetségi beszerzések rendszerének átalakítása, melynek hatása idővel remélhetően a magánszektor beszerzéseire is ki fog terjedni.
- A kiberbiztonságot növelő számos követelmény jelenleg is érvényben van, csak be kéne tartani őket.
- Miként lesznek finanszírozva ezek az ambiciózus tervek?
- Ki kell építeni az intézkedések végrehajtását ellenőrző szövetségi szervezeteket, biztosítani kell ezek személyi feltételeit.
Különösen elgondolkodtató William Hugh Murray a SANS Institute (Escal Institute of Advanced Technologies) tanácsadójának és képzési szakértőjének felvetése, amely szerint a „biztonságos szoftver” és az „ellátási lánc” összefüggő, de különálló problémák.
Nincs ok azt hinni, hogy a SolarWinds nem tesztelte az Orion kódját és azt nem tartotta biztonságosnak.
Valójában nem is tudták, hogy olyan kódot is terjesztettek, amiről nem is tudták, hogy létezik. Ez az igazi probléma.
És nálunk? Szerintetek előfordulhat nálunk ilyen eset?
Avagy általánosabban:
Milyennek tartjátok nálunk a szoftverek – beleértve azok frissítéseit is – biztonságának garanciáit, ellenőrzését (különös tekintettel az ICS-ek szoftvereire)?
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.