CISA – Secure by Demand útmutató
Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és a Szövetségi Nyomozó Iroda (FBI) 2024. augsuztus 6-án kiadta a Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem című kiadványt, hogy segítsenek a szervezeteknek biztonságos technológiai ökoszisztémát létrehozni azáltal, hogy biztosítják, hogy a szoftvergyártók a kezdetektől fogva a biztonságos technológiát helyezik előtérbe.
Egy szervezet beszerzési munkatársai gyakran általános ismeretekkel rendelkeznek egy adott technológiai beszerzés alapvető kiberbiztonsági követelményeiről. Gyakran nem értékelik, hogy az adott beszállító rendelkezik-e olyan gyakorlatokkal és irányelvekkel, amelyek biztosítják, hogy a biztonság a termékfejlesztési életciklus legkorábbi szakaszától kezdve központi szempont legyen.
Ez az útmutató a szervezeteknek olyan kérdéseket nyújt, amelyeket a szoftverek vásárlásakor fel kell tenniük, megfontolásokat ad a termékbiztonságnak a beszerzési életciklus különböző szakaszaiba történő integrálásához, valamint forrásokat a termékbiztonsági érettség értékeléséhez a “secure by design” elvekkel összhangban. Az útmutató többek között olyan kérdéseket fogalmaz meg mint, hogy:
- Hogyan teszi a gyártó egyszerűvé az ügyfelek számára a biztonsági javítások telepítését? Széles körben támogatja-e a biztonsági javításokat, és lehetővé teszi-e az automatikus frissítéseket?
- Támogatja-e a gyártó a single sign-on (SSO) integrálását az ügyfelek számára további költségek nélkül?
- Ha a szoftvergyártó kezeli a hitelesítést, lehetővé teszi-e alapértelmezés szerint és ingyenesen a többfaktoros hitelesítést (MFA) vagy más, adathalászatnak ellenálló hitelesítési formákat?
- A szoftvergyártó megszüntette-e az alapértelmezett jelszavakat a termékeiben? Ha nem, dolgozik-e azon, hogy az alapértelmezett jelszavak használatát csökkentse a termékcsaládjaiban?
Ez az útmutató kiegészíti a Software Acquisition Guide for Government Enterprise Consumers – Software Assurance in the Cyber-Supply Chain Risk Management (C-SCRM) Lifecycle című kiadványt.
A CISA arra ösztönzi a szervezeteket, hogy tekintsék át mind a Secure by Demand Guide-ot, mind a Software Acquisition Guide-ot, és hajtsák végre az ajánlott intézkedéseket.
