Bundesbehörden sollen Hackern das Einreichen von Fehlerberichten erleichtern

Wenn Sie ein ethischer Hacker sind, der einen Fehler in einem System der Bundesregierung findet, wie sollten Sie ihn melden? Laut der Cybersecurity and Infrastructure Security Agency (CISA) ist dies keine leichte Aufgabe.

Daher fordert sie die Bundesbehörden auf, formelle Richtlinien für die Meldung von Fehlern zu entwickeln.

"Die Entscheidung, eine Sicherheitsanfälligkeit offenzulegen, kann für den Reporter frustrierend sein, wenn eine Agentur keine Richtlinie zur Offenlegung von Sicherheitsanfälligkeiten definiert hat [VDP]- Der Effekt ist, dass diejenigen, die zum Schutz der Öffentlichkeit beitragen würden, abgewiesen werden ", sagt CISA.

Die Bundesbehörden machen nicht klar, wie Sicherheitsprobleme zu melden sind, und die Regierung ist nicht gut darin, die Leute wissen zu lassen, dass ein Fehlerbericht eingegangen ist.

"Wenn die Aufgabe zu beschwerlich erscheint, entscheiden sie möglicherweise, dass die Berichterstattung weder Zeit noch Mühe wert ist", argumentiert CISA.

Oder sie könnten an die Öffentlichkeit gehen und Regierungssysteme gefährden.

Um dies zu vermeiden, fordert CISA die Agenturen auf, unverzüglich einige Änderungen vorzunehmen und anschließend einen langfristigen Reaktionsplan zu erstellen.

Es sammelt seit letztem November Feedback darüber, wie dies am besten funktioniert, und ist nun bereit, dass die Bundesbehörden einspringen.

In den nächsten 30 Tagen müssen Agenturen für jede registrierte .gov-Domain, die sie noch nicht registriert haben, einen Sicherheitskontakt hinzufügen und das Feld "Organisation" aktualisieren, um die Einheit innerhalb dieser Agentur zu klären, die die Domain verwendet.

Bis März 2021 müssen die Agenturen eine Richtlinie zur Offenlegung von Sicherheitslücken veröffentlichen und unter speichern [agency].gov / Schwachstellen-Offenlegungsrichtlinie.

Föderale Systeme sind oft komplexe Giganten, so dass CISA es den Agenturen ermöglicht, hochzufahren und Systeme hinzuzufügen, die im Laufe der Zeit von ihren VDPs abgedeckt werden.

Im Idealfall werden alle bis September 2022 abgedeckt sein.

"Diese Richtlinie unterscheidet sich von anderen, die wir herausgegeben haben und die eher technischer - technologischer - Natur sind.

[it's] über Menschen und wie sie zusammenarbeiten ", sagte Bryan Ware, stellvertretender Direktor für Cybersicherheit bei CISA, in einer Erklärung." Das mag für eine Cybersicherheitsrichtlinie seltsam erscheinen, ist es aber nicht.

Bei der Cybersicherheit geht es mehr um Menschen als um Computer, und das Verständnis des menschlichen Elements ist der Schlüssel zur Verteidigung von heute und zur Sicherung von morgen.

"

Wenn Sie ein ethischer Hacker sind, der einen Fehler in einem System der Bundesregierung findet, wie sollten Sie ihn melden? Laut der Cybersecurity and Infrastructure Security Agency (CISA) ist dies keine leichte Aufgabe.

Daher fordert sie die Bundesbehörden auf, formelle Richtlinien für die Meldung von Fehlern zu entwickeln.

"Die Entscheidung, eine Sicherheitsanfälligkeit offenzulegen, kann für den Reporter frustrierend sein, wenn eine Agentur keine Richtlinie zur Offenlegung von Sicherheitsanfälligkeiten definiert hat [VDP]- Der Effekt ist, dass diejenigen, die zum Schutz der Öffentlichkeit beitragen würden, abgewiesen werden ", sagt CISA.

Die Bundesbehörden machen nicht klar, wie Sicherheitsprobleme zu melden sind, und die Regierung ist nicht gut darin, die Leute wissen zu lassen, dass ein Fehlerbericht eingegangen ist.

"Wenn die Aufgabe zu beschwerlich erscheint, entscheiden sie möglicherweise, dass die Berichterstattung weder Zeit noch Mühe wert ist", argumentiert CISA.

Oder sie könnten an die Öffentlichkeit gehen und Regierungssysteme gefährden.

Um dies zu vermeiden, fordert CISA die Agenturen auf, unverzüglich einige Änderungen vorzunehmen und anschließend einen langfristigen Reaktionsplan zu erstellen.

Es sammelt seit letztem November Feedback darüber, wie dies am besten funktioniert, und ist nun bereit, dass die Bundesbehörden einspringen.

In den nächsten 30 Tagen müssen Agenturen für jede registrierte .gov-Domain, die sie noch nicht registriert haben, einen Sicherheitskontakt hinzufügen und das Feld "Organisation" aktualisieren, um die Einheit innerhalb dieser Agentur zu klären, die die Domain verwendet.

Bis März 2021 müssen die Agenturen eine Richtlinie zur Offenlegung von Sicherheitslücken veröffentlichen und unter speichern [agency].gov / Schwachstellen-Offenlegungsrichtlinie.

Föderale Systeme sind oft komplexe Giganten, so dass CISA es den Agenturen ermöglicht, hochzufahren und Systeme hinzuzufügen, die im Laufe der Zeit von ihren VDPs abgedeckt werden.

Im Idealfall werden alle bis September 2022 abgedeckt sein.

"Diese Richtlinie unterscheidet sich von anderen, die wir herausgegeben haben und die eher technischer - technologischer - Natur sind.

[it's] über Menschen und wie sie zusammenarbeiten ", sagte Bryan Ware, stellvertretender Direktor für Cybersicherheit bei CISA, in einer Erklärung." Das mag für eine Cybersicherheitsrichtlinie seltsam erscheinen, ist es aber nicht.

Bei der Cybersicherheit geht es mehr um Menschen als um Computer, und das Verständnis des menschlichen Elements ist der Schlüssel zur Verteidigung von heute und zur Sicherung von morgen.

"