Cos’è:
Hardware, software e firmware sono i tre componenti principali che compongono i computer e i sistemi attuali. L’hardware include i componenti fisici di un sistema informatico, che potrebbero consumarsi nel tempo e richiedere la sostituzione. Il software include set di istruzioni che consentono una varietà di input da parte dell’utente., Il firmware è un tipo specifico (o sottoinsieme) di software progettato per fungere da intermediario tra il software e l’hardware o per il funzionamento di sistemi embedded monouso, come stampanti o router. Gli utenti finali in genere hanno un’interazione limitata con il firmware e viene modificato raramente. Esempi di questi componenti principali includono:
Perché è importante:
Hardware, software e firmware hanno ciascuno un ruolo nella tecnologia dell’informazione (IT) utilizzata dai funzionari elettorali., In un ecosistema elettorale, la macchina di voto fisico è l’hardware, l’applicazione di programmazione ballottaggio è il software, e lettori di codici a barre probabilmente eseguito su firmware. Questo è importante capire da una prospettiva di approvvigionamento come funzionari elettorali cercano di ottenere nuove attrezzature. Diversi componenti possono essere sviluppati e fabbricati da una varietà di fornitori e quindi confezionati da un singolo fornitore. Ciò ha un impatto sulla necessità di condurre un’adeguata gestione del rischio della catena di approvvigionamento.,
Le differenze tra hardware, software e firmware sono importanti per la patch e la gestione delle vulnerabilità. Come componente fisico, le vulnerabilità hardware sono difficili da correggere senza una sostituzione completa, anche se alcune possono essere mitigate attraverso gli aggiornamenti del firmware. In passato, il firmware era difficile da aggiornare in quanto in genere risiedeva sulla memoria di sola lettura. Mentre gli aggiornamenti sono ora più comuni, hanno un rischio relativamente elevato di influire sulla funzionalità, quindi i produttori sono riluttanti a fornirli frequentemente., Le vulnerabilità del software sono in genere le più facili da correggere, tradizionalmente attraverso regolari aggiornamenti di sicurezza. Le vulnerabilità del software rimangono il vettore principale che gli attori delle minacce informatiche utilizzano per sfruttare i sistemi, rendendo il software il componente di sistema più importante da monitorare e aggiornare con patch di sicurezza di routine e ad hoc.
Infine, l’end-of-support del fornitore influisce in modo diverso su hardware, software e firmware. In alcuni casi, il software di fine supporto potrebbe diventare inutilizzabile a causa di altre dipendenze, mentre il firmware di fine supporto continuerà probabilmente a funzionare come progettato., Anche dopo l’identificazione delle vulnerabilità, il fornitore non emetterà un avviso di sicurezza o una patch, ma a volte sono disponibili mitigazioni fisiche e software per proteggere il software e il firmware di fine supporto. Nel frattempo, man mano che l’hardware si avvicina alla fine del supporto, le parti di ricambio hanno una disponibilità limitata. Per tutti i componenti, il supporto o la risoluzione dei problemi non sono più forniti al termine del supporto.
Cosa puoi fare:
Le differenze tra hardware, software e firmware richiedono che i funzionari elettorali considerino la sicurezza in modo olistico. I funzionari devono pianificare gli aggiornamenti e l’obsolescenza., Prima di qualsiasi mitigazione può essere messo in atto, gli uffici elettorali devono condurre un inventario di tutte le risorse hardware e software di cui sono responsabili, come descritto nei controlli CIS 1 e 2. CIS incoraggia gli uffici elettorali a far rivedere e verificare regolarmente il proprio personale IT e a garantire che software e firmware siano aggiornati con le patch di sicurezza più recenti e che l’hardware funzioni correttamente., L’EI-ISAC Monthly Cybersecurity Advisory Summary mette in evidenza le patch di sicurezza critiche per il software di uso comune per tutto il mese precedente e può essere utilizzato come lista di controllo per garantire che i sistemi siano patchati.
Quando si procurano nuove apparecchiature, i funzionari elettorali dovrebbero considerare la necessità di valutare la catena di fornitura sia per le apparecchiature nel loro insieme che per ogni componente per garantire che non vengano introdotte vulnerabilità e modifiche impreviste., Best Practice 23 dalla “Guida per garantire la sicurezza negli appalti di tecnologie elettorali” del CIS fornisce indicazioni preziose per affrontare i problemi della catena di approvvigionamento. Inoltre, i funzionari elettorali dovrebbero rivedere i “13 elementi di un efficace programma SCRM” del Centro nazionale di controspionaggio e sicurezza, che fornisce raccomandazioni sulla verifica dei processi, i requisiti di sicurezza e la mitigazione del rischio.
L’EI-ISAC Cybersecurity Spotlight è una spiegazione pratica di un concetto, evento o pratica comune di sicurezza informatica e della sua applicazione alla sicurezza delle infrastrutture elettorali., Ha lo scopo di fornire ai membri EI-ISAC una comprensione operativa di argomenti tecnici comuni nel settore della sicurezza informatica. Se si desidera richiedere un termine o una pratica specifica che potrebbe essere di interesse per la comunità elettorale, si prega di contattare [email protected].