Hvad det er:
Hardware, software og firmware er de tre centrale komponenter, der udgør nutidens computere og systemer. Hard .are omfatter de fysiske komponenter i et computersystem, som kan slides over tid og kræver udskiftning. Soft .are indeholder sæt af instruktioner, der tillader en række input fra brugeren., Firmware er en bestemt type (eller undersættet) af software, der er designet til at fungere som mellemled mellem software og hardware, eller for driften af enkelt-formål indlejrede systemer, såsom printere eller routere. Slutbrugere har typisk begrænset interaktion med firm .are, og det ændres sjældent. Eksempler på disse kernekomponenter inkluderer:
hvorfor betyder det noget:
hard .are, soft .are og firm .are har hver især en rolle i den informationsteknologi (IT), som valgembedsmænd bruger., I et valgøkosystem er den fysiske afstemningsmaskine hard .aren, stemmeseddelprogrammeringsprogrammet er soft .aren, og stregkodelæsere kører sandsynligvis på firm .are. Dette er vigtigt at forstå fra et indkøbsperspektiv, da valgembedsmænd søger at få nyt udstyr. Forskellige komponenter kan udvikles og fremstilles af en række udbydere og derefter pakkes af en enkelt leverandør. Dette har indflydelse på behovet for at gennemføre tilstrækkelig risikostyring i forsyningskæden.,
forskellene mellem hardware, software og firmware er vigtige for patching og sårbarhed forvaltning. Som en fysisk komponent er Hard .aresårbarheder vanskelige at afhjælpe uden fuldstændig udskiftning, selvom nogle kan afhjælpes gennem firm .areopdateringer. Tidligere var firm .are vanskeligt at opdatere, da den typisk boede i skrivebeskyttet hukommelse. Mens opdateringer nu er mere almindelige, har de en relativt høj risiko for at påvirke funktionaliteten, så producenterne er tilbageholdende med at give dem ofte., Soft .are sårbarheder er typisk den nemmeste at afhjælpe, traditionelt gennem regelmæssige sikkerhedsopdateringer. Software sårbarheder er fortsat den primære vektor cyber trussel aktører bruger til at udnytte systemer, hvilket gør den software den vigtigste komponent system til at overvåge og opdatere med rutine og ad hoc-sikkerhedsrettelser.
endelig påvirker leverandøren end-of-support hard .are, soft .are og firm .are forskelligt. I nogle tilfælde, end-of-support Soft .are kan blive ubrugelig på grund af andre afhængigheder, hvorimod end-of-support firm .are vil sandsynligvis fortsætte med at fungere som designet., Selv efter at sårbarheder er identificeret, udsteder sælgeren ikke en sikkerhedsmeddelelse eller-patch, men fysiske og soft .are-afhjælpninger er undertiden tilgængelige for at sikre end-of-support-Soft .are og firm .are. I mellemtiden, når hard .are nærmer sig end-of-support, har reservedele begrænset tilgængelighed. For alle komponenter leveres support eller fejlfinding ikke længere ved end-of-support.
Hvad kan du gøre:
Forskelle mellem hardware, software og firmware kræver valgtilforordnede til at overveje sikkerheden i helheder. Tjenestemænd skal planlægge ajourføring og forældelse., Før eventuelle afhjælpninger kan indføres, skal valgkontorer foretage en oversigt over alle de hard .are-og soft .areaktiver, de er ansvarlige for, som beskrevet i CIS-Kontrol 1 og 2. CIS opfordrer valg kontorer til at have deres IT-personale jævnligt og kontrollere deres status og sikre, software og firmware er opdateret med de nyeste sikkerhedsrettelser og at hardwaren fungerer korrekt., Ei-ISAC Monthly Cybersecurity Advisory Summary fremhæver kritiske sikkerhedsrettelser til almindeligt anvendt soft .are i hele den foregående måned og kan bruges som en tjekliste for at sikre, at systemerne er lappet.
ved indkøb af nyt udstyr, valgtilforordnede bør overveje behovet for at vurdere forsyningskæden for både det udstyr, som helhed og for hver enkelt komponent for at sikre, at uventede sårbarheder og ændringer der er ikke indført., Best Practice 23 fra CIS ‘ s “Guide til sikring af sikkerhed inden for indkøb af Valgteknologi” giver værdifuld vejledning til håndtering af forsyningskædeproblemer. Derudover bør valgembedsmænd gennemgå National Counterintelligence and Security Center ‘ s “13 elementer i et effektivt SCRM-Program”, som giver anbefalinger om procesrevision, sikkerhedskrav og risikoreduktion.
ei-ISAC Cybersecurity Spotlight er en praktisk forklaring på et fælles cybersikkerhedskoncept, begivenhed eller praksis og dets anvendelse på Valginfrastruktursikkerhed., Det er hensigten at give EI-ISAC medlemmer med en arbejdsgruppe forståelse af fælles tekniske emner i cybersikkerhed industrien. Hvis du gerne vil anmode om en bestemt periode eller praksis, der kan være af interesse for valgfællesskabet, bedes du kontakte [email protected].