Die Gesetzesvorlage des Repräsentantenhauses würde Bundesauftragnehmer dazu verpflichten, Programme zur Offenlegung von Schwachstellen einzurichten

Cyber Security News

Repräsentant Ted Lieu, D-Calif., kommt am 13. Februar 2021 auf dem Capitol Hill in Washington, DC an. Lieu hat einen Gesetzesentwurf eingebracht, der die Offenlegung von Schwachstellen bei Auftragnehmern des Bundes vorschreibt. (Foto: Stefani Reynolds – Pool/Getty Images)

Der Abgeordnete Ted Lieu (Kalifornien) wird am Dienstag einen Gesetzesentwurf ankündigen, der von allen Bundesauftragnehmern ein Programm zur Offenlegung von Schwachstellen verlangen würde.

Der Improving Contractor Cybersecurity Act orientiert sich an der Binding Operational Directive 20-01 des Department of Homeland Security, die Bundesbehörden anweist, Offenlegungsprogramme zu entwickeln.

“Wie wir bei SolarWinds und jetzt bei USAID gesehen haben, ist jeder Anbieter ein potenzieller Bedrohungsvektor. Mit diesem Gesetzentwurf erkennen wir dieses Risiko an und stellen sicher, dass das Bundesvertragsgesetz unsere Bedürfnisse aus Sicht des Risikomanagements erfüllen kann”, sagte Lieu gegenüber SC Media.

Der Gesetzentwurf verlangt nicht, dass Auftragnehmer eine Sicherheitslücke patchen. Aber es verlangt von den Auftragnehmern, einem Forscher, der eine Schwachstelle einreicht, mitzuteilen, welche Schritte (wenn überhaupt) den Fehler beheben würden, die Behebung zu bestätigen, wenn sie abgeschlossen ist, zu bewerten, ob die Schwachstelle gültig ist, und, wenn der Auftragnehmer nicht tatsächlich für die Komponente mit der Schwachstelle verantwortlich ist, zu benachrichtigen, wer es ist.

“Letztendlich besteht unser Ansatz darin, diese Unternehmen zu motivieren, geeignete Maßnahmen zu ergreifen, und nicht darin, Zwangsmaßnahmen gegen sie zu ergreifen, weil sie es versäumt haben, eine Sicherheitslücke zu patchen”, sagte Lieu.

Lieu arbeitete mit mehreren bekannten Offenlegungsexperten und Bundes-Cybersicherheitsexperten bei der Ausarbeitung des Gesetzentwurfs zusammen. Eine Pressemitteilung listet Lob vom Institute for Critical Infrastructure Technology, HackerOne, und das Electronic Privacy Information Center, sowie ehemalige Top-Cyber-Diplomat im State Department Christopher Painter, ehemalige Deputy Assistant Secretary for Policy bei DHS Paul Rosenzweig (derzeit der R Street Institute), und Atlantic Council Cyber Safety Innovation Fellow Beau Woods.

Eine prominente Forscherin, die um Rat gefragt wurde, war Katie Moussouris, Gründerin und CEO von Luta Security, die das Bug-Bounty- und Offenlegungsprogramm bei Microsoft und dem Pentagon ins Leben gerufen hat. Da der endgültige Text des Gesetzes zum Zeitpunkt des Interviews mit SC Media nicht verfügbar war, konnte sie nicht genau einschätzen, wie effektiv das Gesetz sein würde.

Aber eine Sorge, die sie bemerkte, war das Fehlen eines Teams, das sich der Behebung der Flut von Schwachstellen widmet, die solche Offenlegungsprogramme aufdecken würden.

“Ohne geschulte Mitarbeiter, Prozesse und Technologien, die intern positioniert sind, um die relative Priorisierung aller Bugs zu bewerten und Lösungen zu entwickeln und zu testen, wird die bloße Einrichtung einer Möglichkeit, Bugs zu melden, den Zweck verfehlen”, sagte sie.

Dies ist ein häufiges Problem, selbst für Unternehmen, die die volle Absicht haben, alle gemeldeten Schwachstellen im Rahmen von Offenlegungs- oder Bounty-Programmen zu beheben: Wenn man von mehr Schwachstellen erfährt, führt dies nicht zu mehr Behebungen, es sei denn, es werden Ressourcen bereitgestellt, um Schritt zu halten.

Obwohl die Verträge nicht die Behebung jeder Menge von Schwachstellen vorschreiben würden, die durch die Programme eingebracht werden, wäre die Regierung in der Lage, Verträge mit Unternehmen nicht zu erneuern, deren Umgang mit Schwachstellen den Zorn der Forscher erregt.

Ein großer angeblicher Vorteil der kürzlichen Anordnung des Weißen Hauses, die Cybersicherheitsanforderungen für an die Regierung verkaufte Software vorschreibt, war, dass sie den breiteren Technologiemarkt bewegen würde. Lieu hofft das Gleiche für seinen Gesetzentwurf.

“Vertragsanforderungen sind ein guter Weg, um den Markt in Richtung einer aggressiveren, aktiven Rolle bei der Behebung von Schwachstellen zu bewegen und sicherzustellen, dass die [U.S. government] niedrig hängende Früchte in Angriff nimmt”, sagte er.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com