Les départements du commerce, du Trésor, de la sécurité intérieure et des National Institutes of Health ont tous été compromis. Une grande liste de sociétés privées – parmi eux Microsoft, Intel, Cisco, Deloitte, Fireeye et Crowdstrike – ont également été violées.
En réponse, une Biden EO a exigé l’agence de sécurité de cybersécurité et d’infrastructure pour établir une “forme commune” pour l’attestation d’auto-assurance selon laquelle les organisations vendant un logiciel critique au gouvernement fédéral étaient conformes aux dispositions du SSDF. L’attestation était venue d’un agent d’entreprise.
L’OE de Trump supprime cette exigence et dirige plutôt le National Institute for Standards and Technology (NIST) pour créer une mise en œuvre de la sécurité de référence pour le SSDF sans autre exigence d’attestation. La nouvelle mise en œuvre supplantera SP 800-218, la mise en œuvre de référence SSDF existante du gouvernement, bien que le Trump EO appelle les nouvelles directives à en informer.
Les critiques ont déclaré que le changement permettra aux entrepreneurs du gouvernement de contourner les directives qui les obligeraient à corriger de manière proactive les types de vulnérabilités de sécurité qui ont permis au compromis SolarWinds.
“Cela permettra aux gens de cocher leur chemin à travers” Nous avons copié la mise en œuvre “sans suivre l’esprit des contrôles de sécurité dans SP 800-218”, a déclaré Jake Williams, un ancien pirate de l’agence de sécurité nationale qui est maintenant vice-président de la recherche et du développement pour la société de cybersécurité Hunter Strategy, dans une interview. “Très peu d’organisations se conforment en fait aux dispositions du SP 800-218 parce qu’elles mettent des exigences de sécurité onéreuses sur les environnements de développement, qui sont généralement [like the] Wild West. “
Le Trump EO fait également reculer les exigences selon lesquelles les agences fédérales adoptent des produits qui utilisent des schémas de chiffrement qui ne sont pas vulnérables aux attaques informatiques quantiques. Biden a mis ces exigences en place pour tenter de relancer la mise en œuvre de nouveaux algorithmes résistants aux quantiques en cours de développement par le NIST.
