mi ez:
hardver, szoftver és firmware a három alapvető összetevők alkotják a mai számítógépek és rendszerek. A hardver tartalmazza a számítógépes rendszer fizikai elemeit, amelyek idővel elhasználódhatnak, és cserére szorulnak. A szoftver olyan utasításkészleteket tartalmaz, amelyek lehetővé teszik a felhasználó különböző bemeneteit., A Firmware a szoftver egy meghatározott típusa (vagy részhalmaza), amelyet úgy terveztek, hogy közvetítőként működjön a szoftver és a hardver között, vagy egycélú beágyazott rendszerek, például nyomtatók vagy útválasztók működéséhez. A végfelhasználók általában korlátozott interakciót folytatnak a firmware-rel, és ritkán módosítják. Ilyen alapkomponensek például a következők:
miért számít:
hardver, szoftver és firmware mindegyik szerepet játszik a választási tisztviselők által használt információs technológiában (IT)., Egy választási ökoszisztémában a fizikai szavazógép a hardver, a szavazólap programozó alkalmazás a szoftver, a vonalkódolvasók pedig valószínűleg firmware-en futnak. Ezt beszerzési szempontból fontos megérteni, mivel a választási tisztviselők új felszerelést keresnek. Különböző alkatrészeket lehet kifejleszteni és gyártani a különböző szolgáltatók, majd csomagolni egy gyártó. Ez hatással van az ellátási lánc megfelelő kockázatkezelésének szükségességére.,
a hardver, a szoftver és a firmware közötti különbségek fontosak a javításhoz és a sebezhetőség kezeléséhez. Fizikai összetevőként a hardveres sebezhetőségeket nehéz kijavítani teljes csere nélkül, bár néhányat a firmware frissítésekkel lehet enyhíteni. A múltban a firmware-t nehéz volt frissíteni, mivel általában csak olvasható memóriában tartózkodott. Míg a frissítések ma már gyakoribbak, viszonylag nagy a kockázata annak, hogy befolyásolják a funkcionalitást, így a gyártók vonakodnak gyakran biztosítani őket., A szoftver sebezhetőségét általában a legkönnyebben orvosolni, hagyományosan rendszeres biztonsági frissítések révén. Szoftver sérülékenységek marad az elsődleges vektor cyber-fenyegetés színészek akar felhasználni rendszerek, így a szoftver a rendszer legfontosabb eleme, hogy a monitor, majd a frissítés a szokásos, illetve ad hoc biztonsági javítások.
végül, a szállító end-of-support hatások hardver, szoftver, firmware másképp. Bizonyos esetekben, end-of-support szoftver válhat használhatatlanná miatt más függőségek, mivel end-of-support firmware valószínűleg továbbra is működik, mint tervezték., Még a sebezhetőségek azonosítása után sem ad ki biztonsági értesítést vagy javítást az eladó, de néha fizikai és szoftveres enyhítések állnak rendelkezésre a támogatás végének szoftverének és firmware-jének biztosításához. Eközben, ahogy a hardver megközelíti a támogatás végét, a pótalkatrészek korlátozott rendelkezésre állásúak. Minden alkatrész esetében a támogatás vagy a hibaelhárítás már nem biztosított a támogatás végén.
mit lehet tenni:
a hardver, a szoftver és a firmware közötti különbségek megkövetelik a választási tisztviselőktől, hogy holisztikusan vegyék figyelembe a biztonságot. A tisztviselőknek tervezniük kell a frissítéseket és az elavulást., Mielőtt bármilyen mitigations lehet bevezetni, választási irodák kell végezniük a leltárt mind a hardver, mind a szoftver eszközök ők a felelősek, mint vázolt CIS Ellenőrzések 1. 2. CIS ösztönzi a választási irodák hogy a személyzet rendszeresen felülvizsgálja, majd ellenőrizze, hogy a leltár, valamint annak biztosítása, szoftver vagy firmware frissítése a legújabb biztonsági javítások, illetve, hogy a hardver megfelelően működik-e., Az EI-ISAC havi kiberbiztonsági tanácsadó összefoglalója kiemeli az előző hónapban általánosan használt szoftverek kritikus biztonsági javításait, és ellenőrző listaként használható a rendszerek foltozásának biztosítására.
beszerzésekor új berendezések, választási tisztviselők fontolja meg kell értékelni az ellátási lánc mind a berendezések, mint egész, minden összetevője annak érdekében, hogy a váratlan réseket, módosítások nem vezették be., A CIS “Guide for assuring Security in Election Technology Procurements” 23.bevált gyakorlata értékes útmutatást nyújt az ellátási lánc aggályainak kezeléséhez. Ezenkívül a választási tisztviselőknek felül kell vizsgálniuk a Nemzeti Kémelhárítási és Biztonsági Központ “egy hatékony SCRM Program 13 elemét”, amely ajánlásokat fogalmaz meg a folyamat auditivithatóságáról, a biztonsági követelményekről és a kockázatcsökkentésről.
az EI-ISAC kiberbiztonsági reflektorfény egy közös kiberbiztonsági koncepció, esemény vagy gyakorlat gyakorlati magyarázata, valamint annak alkalmazása a választási infrastruktúra biztonságára., Célja, hogy az EI-ISAC tagjai számára a kiberbiztonsági ipar közös műszaki témáinak megfelelő megértést biztosítson. Ha olyan konkrét kifejezést vagy gyakorlatot szeretne kérni, amely érdekes lehet A választási közösség számára, kérjük, vegye fel a kapcsolatot [email protected].