Co to je:
Hardware, software a firmware jsou tři základní komponenty, které tvoří dnešní počítače a systémy. Hardware zahrnuje fyzické součásti počítačového systému, které se mohou časem opotřebovat a vyžadují výměnu. Software obsahuje sady instrukcí, které umožňují různé vstupy od uživatele., Firmware je specifický typ (nebo podmnožina) softwaru, který je navržen tak, aby fungoval jako prostředník mezi softwarem a hardwarem nebo pro provoz jednoúčelových vestavěných systémů, jako jsou tiskárny nebo směrovače. Koncoví uživatelé mají obvykle omezenou interakci s firmwarem a zřídka se upravují. Příklady tyto základní komponenty patří:
Proč na tom záleží:
Hardware, software a firmware, každý má roli v oblasti informačních technologií (IT), že volební úředníci používat., Ve volebním ekosystému je fyzickým hlasovacím strojem hardware, programovací aplikací pro hlasovací lístky je software a čtečky čárových kódů pravděpodobně běží na firmwaru. To je důležité pochopit z hlediska zadávání veřejných zakázek, protože volební úředníci se snaží získat nové vybavení. Různé komponenty mohou být vyvinuty a vyrobeny různými poskytovateli a poté zabaleny jediným prodejcem. To má dopad na potřebu provádět odpovídající řízení rizik dodavatelského řetězce.,
rozdíly mezi hardwarem, softwarem a firmwarem jsou důležité pro opravu a správu zranitelnosti. Jako fyzická součást je obtížné napravit zranitelnost hardwaru bez úplné výměny, i když některé lze zmírnit pomocí aktualizací firmwaru. V minulosti byl firmware obtížné aktualizovat, protože obvykle sídlil v paměti pouze pro čtení. Zatímco aktualizace jsou nyní běžnější, mají relativně vysoké riziko ovlivnění funkčnosti, takže výrobci se zdráhají je často poskytovat., Zranitelnosti softwaru jsou obvykle nejjednodušší k nápravě, tradičně prostřednictvím pravidelných aktualizací zabezpečení. Softwarové zranitelnosti zůstávají primární vektor cyber hrozbou, herci použít využívat systémů, tvorba software nejdůležitější součást systému sledování a aktualizace s pravidelné a ad hoc bezpečnostní záplaty.
nakonec dodavatel end-of-support ovlivňuje hardware, software a firmware jinak. V některých případech může být Software end-of-support nepoužitelný kvůli jiným závislostem, zatímco firmware end-of-support bude pravděpodobně i nadále fungovat tak, jak je navržen., I poté, co jsou identifikovány zranitelnosti, prodejce nevydá bezpečnostní upozornění nebo opravu, ale fyzické a softwarové zmírnění jsou někdy k dispozici pro zabezpečení softwaru a firmwaru end-of-support. Mezitím, jak se hardware blíží ke konci podpory, náhradní díly mají omezenou dostupnost. U všech komponent již není podpora nebo řešení problémů poskytována na konci podpory.
co můžete udělat:
rozdíly mezi hardwarem, softwarem a firmwarem vyžadují, aby volební úředníci považovali bezpečnost holisticky. Úředníci musí plánovat aktualizace a zastarávání., Předtím, než mohou být zavedeny jakékoli zmírnění, musí volební kanceláře provést soupis všech hardwarových a softwarových aktiv, za které jsou odpovědné, jak je uvedeno v ovládacích prvcích CIS 1 a 2. CIS podporuje volební kanceláře, aby jejich IT pracovníci pravidelně přezkum a ověřování jejich zásob a zajistit, software a firmware jsou aktualizovány s nejnovější bezpečnostní záplaty a že hardware funguje správně., Ei-ISAC měsíční Cybersecurity Advisory shrnutí zdůrazňuje kritické bezpečnostní záplaty pro běžně používaný software v průběhu předchozího měsíce a může být použit jako kontrolní seznam k zajištění systémů jsou záplatované.
při nákupu nového vybavení by měli volební úředníci zvážit potřebu posoudit dodavatelský řetězec jak pro zařízení jako celek, tak pro každou součást, aby se zajistilo, že nebudou zavedeny neočekávané zranitelnosti a úpravy., Best Practice 23 z „Průvodce SNS pro zajištění bezpečnosti při zadávání veřejných zakázek na volební technologie“ poskytuje cenné pokyny pro řešení problémů dodavatelského řetězce. Navíc, volební úředníci by měly přezkoumat Národní Kontrarozvědky a Centrum Zabezpečení „13 Prvky Efektivní SCRM Program“, která poskytuje doporučení na proces auditovatelnost, bezpečnost, požadavky a rizika.
ei-ISAC Cybersecurity Spotlight je praktické vysvětlení společné Koncepce kybernetické bezpečnosti, události nebo praxe a její aplikace na bezpečnost infrastruktury voleb., Cílem je poskytnout členům EI-ISAC pracovní porozumění společným technickým tématům v odvětví kybernetické bezpečnosti. Pokud byste chtěli požádat o konkrétní termín nebo postupů, které mohou být zajímavé pro volby, společenství, kontaktujte [email protected].