Co to jest:
Hardware, software i firmware to trzy podstawowe składniki, które składają się na dzisiejsze komputery i systemy. Sprzęt obejmuje fizyczne elementy systemu komputerowego, które mogą z czasem ulec zużyciu i wymagać wymiany. Oprogramowanie zawiera zestawy instrukcji, które umożliwiają różne wejścia od użytkownika., Oprogramowanie układowe to określony rodzaj (lub podzbiór) oprogramowania, które ma działać jako pośrednik między oprogramowaniem a sprzętem lub do obsługi systemów wbudowanych, takich jak drukarki lub routery. Użytkownicy końcowi zazwyczaj mają ograniczoną interakcję z oprogramowaniem sprzętowym i jest on modyfikowany rzadko. Przykłady tych podstawowych komponentów to:
dlaczego to ma znaczenie:
sprzęt, oprogramowanie i oprogramowanie układowe mają swoją rolę w technologii informacyjnej (IT), z której korzystają urzędnicy wyborcy., W ekosystemie wyborczym fizyczna maszyna do głosowania jest sprzętem, aplikacja do programowania głosowania jest oprogramowaniem, a Czytniki kodów kreskowych prawdopodobnie działają na oprogramowaniu sprzętowym. Jest to ważne, aby zrozumieć z perspektywy zamówień publicznych, ponieważ urzędnicy wyborcy starają się uzyskać nowy sprzęt. Różne komponenty mogą być opracowywane i produkowane przez różnych dostawców, a następnie pakowane przez jednego dostawcę. Ma to wpływ na konieczność odpowiedniego zarządzania ryzykiem w łańcuchu dostaw.,
różnice między sprzętem, oprogramowaniem i oprogramowaniem układowym są ważne dla łatania i zarządzania lukami. Jako komponent fizyczny, luki sprzętowe są trudne do usunięcia bez całkowitej wymiany, choć niektóre można złagodzić za pomocą aktualizacji oprogramowania układowego. W przeszłości oprogramowanie układowe było trudne do aktualizacji, ponieważ zwykle opierało się na pamięci tylko do odczytu. Podczas gdy aktualizacje są teraz bardziej powszechne, mają one stosunkowo wysokie ryzyko wpływu na funkcjonalność, więc producenci niechętnie dostarczają je często., Luki w oprogramowaniu są zazwyczaj najłatwiejsze do usunięcia, tradycyjnie poprzez regularne aktualizacje zabezpieczeń. Luki w oprogramowaniu pozostają głównym wektorem cyberzagrożeń wykorzystywanych przez podmioty wykorzystujące systemy, co sprawia, że oprogramowanie jest najważniejszym elementem systemu do monitorowania i aktualizacji za pomocą rutynowych i ad hoc poprawek zabezpieczeń.
wreszcie, koniec wsparcia dostawcy wpływa na sprzęt, oprogramowanie i oprogramowanie układowe w różny sposób. W niektórych przypadkach oprogramowanie typu end-of-support może stać się bezużyteczne z powodu innych zależności, podczas gdy oprogramowanie typu end-of-support prawdopodobnie będzie nadal działać zgodnie z projektem., Nawet po zidentyfikowaniu luk w zabezpieczeniach sprzedawca nie wyda powiadomienia o zabezpieczeniach ani poprawki, ale czasami dostępne są ograniczenia fizyczne i programowe w celu zabezpieczenia oprogramowania i oprogramowania sprzętowego. Tymczasem, gdy sprzęt zbliża się do końca obsługi technicznej, dostępność części zamiennych jest ograniczona. W przypadku wszystkich komponentów wsparcie lub rozwiązywanie problemów nie jest już zapewniane po zakończeniu wsparcia.
co możesz zrobić:
różnice między sprzętem, oprogramowaniem i firmware wymagają od urzędników wyborczych całościowego rozważenia bezpieczeństwa. Urzędnicy muszą planować aktualizacje i przestarzałość., Zanim zostaną wprowadzone jakiekolwiek ograniczenia, biura wyborcze muszą przeprowadzić inwentaryzację całego sprzętu i oprogramowania, za które są odpowiedzialne, zgodnie z opisem w kontrolach CIS 1 i 2. CIS zachęca biura wyborcze do regularnego sprawdzania i weryfikowania zapasów swoich pracowników IT oraz upewniania się, że oprogramowanie i oprogramowanie sprzętowe są aktualizowane o najnowsze poprawki zabezpieczeń i że sprzęt działa prawidłowo., Miesięczne podsumowanie ei-ISAC Cybersecurity Advisory summary podkreśla krytyczne poprawki zabezpieczeń powszechnie używanego oprogramowania w poprzednim miesiącu i może być używane jako lista kontrolna w celu zapewnienia poprawności systemów.
zamawiając nowy sprzęt, urzędnicy wyborcy powinni rozważyć potrzebę oceny łańcucha dostaw zarówno dla sprzętu jako całości, jak i dla każdego komponentu, aby upewnić się, że nieoczekiwane luki i modyfikacje nie zostaną wprowadzone., Najlepsze praktyki 23 z „przewodnika zapewniania bezpieczeństwa w zamówieniach technologii wyborczych” CIS dostarcza cennych wskazówek dotyczących rozwiązywania problemów związanych z łańcuchem dostaw. Dodatkowo, urzędnicy wyborcy powinni dokonać przeglądu krajowego kontrwywiadu i Centrum Bezpieczeństwa „13 elementów skutecznego programu SCRM”, który zawiera zalecenia dotyczące audytowalności procesów, wymagań bezpieczeństwa i ograniczania ryzyka.
ei-ISAC Cybersecurity Spotlight jest praktycznym wyjaśnieniem wspólnej koncepcji cyberbezpieczeństwa, wydarzenia lub praktyki i jej zastosowania do bezpieczeństwa infrastruktury Wyborczej., Jego celem jest zapewnienie członkom ei-ISAC roboczego zrozumienia wspólnych tematów technicznych w branży cyberbezpieczeństwa. Jeśli chcesz poprosić o konkretny termin lub praktykę, które mogą być interesujące dla społeczności wyborczej, prosimy o kontakt [email protected].