wat het is:
Hardware, software en firmware zijn de drie kerncomponenten van hedendaagse computers en systemen. Hardware omvat de fysieke componenten van een computersysteem, die na verloop van tijd kunnen slijten en vervangen moeten worden. Software bevat sets van instructies die een verscheidenheid aan ingangen van de gebruiker mogelijk te maken., Firmware is een specifiek type (of subset) software dat is ontworpen om te fungeren als tussenpersoon tussen de software en de hardware of voor de werking van single-purpose embedded systemen, zoals printers of routers. Eindgebruikers hebben meestal beperkte interactie met firmware en het wordt zelden gewijzigd. Voorbeelden van deze kerncomponenten zijn:
Waarom maakt het uit:
Hardware, software en firmware hebben elk een rol in de informatietechnologie (IT) die verkiezingsfunctionarissen gebruiken., In een verkiezingsecosysteem, de fysieke stemmachine is de hardware, de stemming programmering applicatie is de software, en barcode lezers waarschijnlijk draaien op firmware. Dit is belangrijk om te begrijpen vanuit een inkoop perspectief als verkiezingsfunctionarissen proberen om nieuwe apparatuur te verkrijgen. Verschillende componenten kunnen worden ontwikkeld en vervaardigd door een verscheidenheid van aanbieders en vervolgens verpakt door een enkele leverancier. Dit heeft gevolgen voor de noodzaak om adequaat risicobeheer in de toeleveringsketen uit te voeren.,
de verschillen tussen hardware, software en firmware zijn belangrijk voor patching en vulnerability management. Als een fysieke component, hardware kwetsbaarheden zijn moeilijk te verhelpen zonder volledige vervanging, hoewel sommige kunnen worden beperkt door middel van firmware-updates. In het verleden, firmware was moeilijk te updaten als het meestal woonde op Alleen-lezen geheugen. Hoewel updates nu vaker voorkomen, hebben ze een relatief hoog risico op het beïnvloeden van functionaliteit, dus fabrikanten zijn terughoudend om ze vaak te bieden., Software kwetsbaarheden zijn meestal het makkelijkst te verhelpen, traditioneel door middel van regelmatige beveiligingsupdates. Software kwetsbaarheden blijven de primaire vector cyber bedreiging acteurs gebruiken om systemen te exploiteren, waardoor de software de belangrijkste systeemcomponent te bewaken en bij te werken met routine en ad hoc security patches.
ten slotte heeft end-of-support van Leveranciers Een andere invloed op hardware, software en firmware. In sommige gevallen kan end-of-support software onbruikbaar worden als gevolg van andere afhankelijkheden, terwijl end-of-support firmware waarschijnlijk zal blijven werken zoals ontworpen., Zelfs nadat kwetsbaarheden zijn geïdentificeerd, zal de leverancier geen beveiligingsbericht of patch uitgeven, maar fysieke en softwarebeperkingen zijn soms beschikbaar om end-of-support software en firmware te beveiligen. Ondertussen, als hardware nadert end-of-support, Vervangende onderdelen hebben beperkte beschikbaarheid. Voor alle componenten wordt ondersteuning of probleemoplossing niet langer geboden aan het einde van de ondersteuning.
wat u kunt doen:
verschillen tussen hardware, software en firmware vereisen dat verkiezingsfunctionarissen veiligheid holistisch overwegen. Ambtenaren moeten plannen voor updates en veroudering., Voordat eventuele risicobeperkende maatregelen kunnen worden getroffen, moeten de stembureaus een inventaris opmaken van alle hardware-en softwareactiva waarvoor zij verantwoordelijk zijn, zoals beschreven in de CIS-controles 1 en 2. CIS moedigt verkiezingsbureaus aan om hun IT-personeel routinematig hun inventaris te laten controleren en controleren en ervoor te zorgen dat software en firmware worden bijgewerkt met de nieuwste beveiligingspatches en dat de hardware goed functioneert., De EI-ISAC maandelijkse Cybersecurity Advisory Summary benadrukt kritieke beveiligingspatches voor veelgebruikte software in de afgelopen maand en kan worden gebruikt als een checklist om ervoor te zorgen dat systemen worden gepatcht.
bij de aanschaf van nieuwe apparatuur moeten verkiezingsfunctionarissen overwegen of de toeleveringsketen zowel voor de apparatuur als voor elke component moet worden beoordeeld om ervoor te zorgen dat onverwachte kwetsbaarheden en wijzigingen niet worden ingevoerd., Best Practice 23 uit de “Guide for Ensuring Security in Election Technology Procurements” van het CIS biedt waardevolle richtsnoeren voor het aanpakken van problemen in de toeleveringsketen. Daarnaast moeten verkiezingsfunctionarissen de “13 elementen van een effectief Scrm-programma” van het nationale contraspionage-en Veiligheidscentrum beoordelen, dat aanbevelingen bevat over procescontroleerbaarheid, veiligheidseisen en risicobeperking.
de EI-ISAC Cybersecurity Spotlight is een praktische uitleg van een gemeenschappelijk cybersecurity concept, evenement of praktijk en de toepassing ervan op de veiligheid van de infrastructuur bij verkiezingen., Het is de bedoeling om EI-Isac-leden een goed begrip te geven van gemeenschappelijke technische onderwerpen in de cybersecurity-industrie. Als u een specifieke term of praktijk wilt aanvragen die van belang kan zijn voor de verkiezingsgemeenschap, neem dan contact op met [email protected].