严重的全球信息技术(IT)安全攻击正在推动政府和商业IT采购发生重大变化. 由此产生的法规和法律对联邦合同和关键基础设施行业的影响越来越大, 需要在政策上进行投资, 基于风险的网络安全管理, 标准操作程序生成, 额外的工具, 全球最大体育平台员, 以及企业范围内的培训.
结果是, 政府, 投资社区, 保险业希望将企业网络安全风险管理完全纳入各级业务和任务风险计划. 从监管和法律的角度来看, IT作为一个纯粹的后台支持功能的时代已经结束了.
脆弱的供应链面临越来越多的威胁
外国对手已经将软件供应链武器化,以便进入IT系统进行信息收集, 金钱和知识产权盗窃和敲诈勒索, 战略战术优势, 以及对政府和企业正常运作的普遍破坏. 加上大型供应链中继承的弱点, 与过去相比,组织面临重大中断和损失的风险大大增加.
迄今为止最大的犯罪入侵是2020年的太阳风攻击, 其中俄罗斯利用软件供应链将漏洞引入SolarWinds软件的开源依赖. 这些漏洞被用来获取政府和商业系统的访问权限,目的是收集情报. 迄今为止,修复SolarWinds攻击已经花费了政府和行业超过1000亿美元,而且还在继续.
吸收政府的反应
为了阻止高调袭击的浪潮, 世界各国政府正在制定新的法规和法律,规定最低限度的网络安全合规和报告标准. 对你.S. 承包商, 开发时规定责任的新规定, 选择, 或转售软件是2021年5月全球最大体育平台改善国家网络安全的行政命令(EO) 14028的结果. EO 14028要求所有涉及关键基础设施或向联邦政府销售软件或服务的公司制定政策, 程序, 实践, 事件报告符合美国国家标准与技术研究院(NIST)网络安全供应链风险管理(C-SCRM)和安全软件开发框架(SSDF). 政府规定,这些要求涵盖了行政部门民事和国防方面的所有代码. 这包括审查用于创建代码的所有源代码. 美国.S. 政府将在新的FAR Part(40)中整合网络供应链安全要求。. 在此之前,管理和预算办公室(OMB)已经发布了 临时指导 要求代理机构采购在安全软件开发实践下全球最大体育平台和管理的软件,并由生产它们的公司证明.
除了新的联邦合同要求, 软件开发全球最大体育平台员必须考虑额外的规则, 法律, 以及联邦政府的政策, 状态, 和地方 government levels; commercial client requirements; foreign IT requirements; insurance coverage mandates and limitations; and civil liability.
影响我们所支持的行业的新责任
联邦政府和保险行业现在要求公司对用于构建和购买软件的过程负责, 要求他们证明公司的一致性,以确保开发政策和程序. 组织将需要不断地审查他们用来构建或获取软件的过程. 目前没有遵循这些实践的公司将需要大量的时间和金钱投资来达到新的最低要求. 使用安全开发/构建环境完全实现安全软件开发生命周期(SSDLC)的成本, 通用多因素身份验证, 最小权限授权, 工件的创建和保留, 而支持证明的相关法律费用也不是微不足道的.
因为实施这些安全控制是获得未来合同的先决条件, 相关成本不能直接收回,需要合并为组织的间接费用. 许多小型供应商和大型组织中的小型项目将没有资源来支付与软件开发和采购相关的初始设置和持续维护以及培训成本. 由于云产品的整合和自动化,这些额外的成本和减少的工作量预计会对小型承包商产生负面影响, 因此,在未来十年,合格小企业的数量将会减少.
除了减少市场上较小的承包商, 这些法规变化将加速采用无/低代码软件即服务(SaaS)基于云的服务,这些服务已经纳入了联邦风险和授权管理计划(FedRAMP)下的安全控制。. 另外, 政府正在寻求将遗留应用程序迁移到平台即服务(PaaS)服务, 哪些是使用零信任原则开发和维护的, 减少政府必须自己保护的系统和代码的数量.
市场竞争的淘汰
网络安全现在是利乐全球最大体育平台客户及其母公司的首要要求. 这是利乐全球最大体育平台的一个重点 网络安全 提供, 包括治理, 风险, 和遵从性, 网络程序开发和运营,以及零信任架构和安全软件供应链. 这种快速变化的态势将对组织产生纵向和横向的影响.
对于那些还不熟悉安全应用程序开发和管理的公司来说,未来几年将需要进行困难和昂贵的转换,才能继续留在市场上. 为了应对监管和法律的变化, 软件和服务公司已经开始对现有服务进行更新,并弃用不兼容的旧功能. 依赖过时功能的遗留应用程序将需要更新,以满足新的网络安全和强制的零信任环境, 为能够提供培训的公司敞开大门, 工作全球最大体育平台员, 执行符合新要求的政策和程序.
作者简介
蒂姆·布卢姆
本文作者蒂姆•布鲁姆是利乐全球最大体育平台(Tetra Tech)专注于地理空间技术的IT顾问, 商业智能, 项目管理.