ce este:
Hardware, software și firmware sunt cele trei componente de bază care alcătuiesc computerele și sistemele actuale. Hardware-ul include componentele fizice ale unui sistem informatic, care se pot uza în timp și necesită înlocuire. Software-ul include seturi de instrucțiuni care permit o varietate de intrări de la utilizator., Firmware-ul este un tip specific (sau subset) de software care este proiectat să acționeze ca intermediar între software și hardware sau pentru funcționarea sistemelor încorporate cu un singur scop, cum ar fi imprimantele sau routerele. Utilizatorii finali au de obicei o interacțiune limitată cu firmware-ul și este modificat rar. Exemple ale acestor componente de bază includ:
De ce contează:
Hardware-ul, software-ul și firmware-ul au fiecare un rol în tehnologia informației (IT) pe care funcționarii electorali o folosesc., Într-un ecosistem electoral, mașina de vot fizic este hardware-ul, aplicația de programare vot este software-ul, și cititoare de coduri de bare probabil rula pe firmware. Acest lucru este important de înțeles din perspectiva achizițiilor, deoarece oficialii electorali încearcă să obțină echipamente noi. Diferite componente pot fi dezvoltate și fabricate de o varietate de furnizori și apoi ambalate de către un singur furnizor. Acest lucru are un impact asupra necesității de a efectua o gestionare adecvată a riscurilor lanțului de aprovizionare.,
diferențele dintre hardware, software și firmware sunt importante pentru patch-uri și gestionarea vulnerabilității. Ca o componentă fizică, vulnerabilitățile hardware sunt dificil de remediat fără înlocuirea completă, deși unele pot fi atenuate prin actualizări de firmware. În trecut, firmware-ul a fost dificil de actualizat, deoarece de obicei locuia în memoria numai pentru citire. În timp ce actualizările sunt acum mai frecvente, acestea prezintă un risc relativ ridicat de a afecta funcționalitatea, astfel încât producătorii sunt reticenți în a le oferi frecvent., Vulnerabilitățile Software sunt de obicei cele mai ușor de remediat, în mod tradițional prin actualizări regulate de securitate. Vulnerabilitățile Software rămân principalii vectori de amenințare cibernetică pe care actorii îi folosesc pentru a exploata sistemele, făcând software-ul cea mai importantă componentă a sistemului de monitorizare și actualizare cu patch-uri de securitate de rutină și ad-hoc.
în cele din urmă, sfârșitul asistenței furnizorului are un impact diferit asupra hardware-ului, software-ului și firmware-ului. În unele cazuri, software-ul de sfârșit de asistență poate deveni inutilizabil din cauza altor dependențe, în timp ce firmware-ul de sfârșit de asistență va continua probabil să funcționeze așa cum a fost proiectat., Chiar și după identificarea vulnerabilităților, furnizorul nu va emite o notificare de securitate sau o corecție, dar uneori sunt disponibile măsuri de atenuare fizică și software pentru a asigura software-ul și firmware-ul pentru sfârșitul asistenței. Între timp, pe măsură ce hardware-ul se apropie de sfârșitul suportului, piesele de schimb au o disponibilitate limitată. Pentru toate componentele, Asistența sau depanarea nu mai este furnizată la sfârșitul asistenței.
ce puteți face:
diferențele dintre hardware, software și firmware impun oficialilor electorali să ia în considerare securitatea în mod holistic. Funcționarii trebuie să planifice actualizări și obsolescență., Înainte ca orice măsuri de atenuare să poată fi puse în aplicare, birourile electorale trebuie să efectueze un inventar al tuturor activelor hardware și software de care sunt responsabile, așa cum se subliniază în controalele CIS 1 și 2. CIS încurajează birourile electorale să-și revizuiască în mod obișnuit personalul IT și să verifice inventarul și să se asigure că software-ul și firmware-ul sunt actualizate cu cele mai recente corecții de securitate și că hardware-ul funcționează corect., Rezumatul consultativ lunar pentru securitatea cibernetică EI-ISAC evidențiază corecțiile critice de securitate pentru software-ul utilizat în mod obișnuit pe parcursul lunii precedente și poate fi utilizat ca listă de verificare pentru a asigura patch-urile sistemelor.atunci când achiziționează echipamente noi, oficialii electorali ar trebui să ia în considerare necesitatea evaluării lanțului de aprovizionare atât pentru echipamente în ansamblu, cât și pentru fiecare componentă pentru a se asigura că nu sunt introduse vulnerabilități și modificări neașteptate., Cele mai bune practici 23 din „Ghidul pentru asigurarea securității în achizițiile de tehnologie electorală” al CSI oferă îndrumări valoroase pentru abordarea preocupărilor lanțului de aprovizionare. În plus, oficialii electorali ar trebui să revizuiască „elementele 13 ale unui program SCRM eficient” al Centrului Național de contrainformații și securitate, care oferă recomandări privind auditarea proceselor, cerințele de securitate și atenuarea riscurilor.ei-ISAC Cybersecurity Spotlight este o explicație practică a unui concept, eveniment sau practică comună de securitate cibernetică și a aplicării sale la securitatea infrastructurii electorale., Acesta este destinat să ofere membrilor EI-ISAC o înțelegere de lucru a subiectelor tehnice comune din industria securității cibernetice. Dacă doriți să solicitați un termen sau o practică specifică care ar putea fi de interes pentru comunitatea electorală, vă rugăm să contactați [email protected].