o que é:
Hardware, software e firmware são os três componentes principais que compõem os computadores e sistemas atuais. O Hardware inclui os componentes físicos de um sistema de computador, que pode se desgastar ao longo do tempo e exigir a substituição. O Software inclui conjuntos de instruções que permitem uma variedade de entradas do Usuário., Firmware é um tipo específico (ou subconjunto) de software que é projetado para atuar como intermediário entre o software e hardware ou para a operação de sistemas embutidos de propósito único, tais como impressoras ou roteadores. Os usuários finais tipicamente têm uma interação limitada com firmware e é modificado pouco frequentemente. Exemplos destes componentes principais incluem:
por que isso importa:
Hardware, software e firmware cada um têm um papel na tecnologia da informação (IT) que os funcionários eleitorais usam., Em um ecossistema eleitoral, a máquina de votação física é o hardware, a aplicação de programação de votos é o software, e leitores de código de barras provavelmente funcionam com firmware. Isto é importante para entender a partir de uma perspectiva de aquisição como funcionários eleitorais procuram obter novos equipamentos. Diferentes componentes podem ser desenvolvidos e fabricados por uma variedade de fornecedores e, em seguida, embalados por um único vendedor. Tal tem um impacto na necessidade de conduzir uma gestão adequada do risco da cadeia de abastecimento.,
As diferenças entre hardware, software e firmware são importantes para patching e gerenciamento de vulnerabilidade. Como um componente físico, vulnerabilidades de hardware são difíceis de corrigir sem substituição completa, embora alguns possam ser mitigados através de atualizações de firmware. No passado, o firmware era difícil de atualizar, uma vez que normalmente residia apenas na memória de leitura. Enquanto as atualizações são agora mais comuns, eles têm um risco relativamente alto de impacto funcionalidade, então os fabricantes estão relutantes em fornecê-los com freqüência., Vulnerabilidades de Software são tipicamente as mais fáceis de remediar, tradicionalmente através de atualizações de segurança regulares. Vulnerabilidades de Software continuam a ser os principais agentes de ameaça cibernética vetorial que usam para explorar sistemas, tornando o software o componente de sistema mais importante para monitorar e atualizar com correções de segurança de rotina e ad hoc.
finalmente, o fornecedor fim de suporte impacta hardware, software e firmware de forma diferente. Em alguns casos, o software de fim de suporte pode tornar-se inutilizável devido a outras dependências, enquanto o firmware de fim de suporte provavelmente continuará a operar como projetado., Mesmo após vulnerabilidades serem identificadas, o fornecedor não emitirá um aviso de segurança ou patch, mas as mitigações físicas e de software às vezes estão disponíveis para garantir o software de fim de suporte e firmware. Enquanto isso, à medida que o hardware se aproxima do fim do suporte, as peças de substituição têm uma disponibilidade limitada. Para todos os componentes, suporte ou solução de problemas não é mais fornecido no fim do suporte.
o que você pode fazer:
diferenças entre hardware, software e firmware requerem funcionários eleitorais para considerar a segurança de forma holística. Os funcionários devem planejar atualizações e obsolescência., Antes de qualquer mitigação pode ser posta em prática, os escritórios eleitorais devem realizar um inventário de todos os recursos de hardware e software que são responsáveis por como descrito nos controles CIS 1 e 2. A CIS incentiva os escritórios eleitorais a ter seu pessoal de TI rotineiramente revisar e verificar seu inventário e garantir que o software e firmware são atualizados com os mais recentes patches de segurança e que o hardware está funcionando corretamente., O resumo mensal EI-ISAC Cybersecurity Advisory Summary destaca patches críticos de segurança para software comumente usado durante o mês anterior e pode ser usado como uma lista de verificação para garantir que os sistemas são remendados.ao adquirir novos equipamentos, os funcionários eleitorais devem considerar a necessidade de avaliar a cadeia de abastecimento tanto para o equipamento como para cada componente, a fim de garantir que não sejam introduzidas vulnerabilidades e modificações inesperadas., As melhores práticas 23 do “Guide for ensure Security in Election Technology Procurements” da CIS fornecem orientações valiosas para abordar as questões relacionadas com a cadeia de abastecimento. Além disso, as autoridades eleitorais devem rever os “13 elementos de um programa SCRM eficaz” do Centro Nacional de Contra-espionagem e segurança, que fornece recomendações sobre auditabilidade do processo, requisitos de segurança e mitigação de riscos.
O foco de Cibersegurança da IE-ISAC é uma explicação prática de um conceito, evento ou prática de cibersegurança comum e sua aplicação à segurança da infraestrutura Eleitoral., Destina-se a proporcionar aos membros da IE-ISAC uma compreensão funcional dos tópicos técnicos comuns na indústria da cibersegurança. Se você gostaria de solicitar um termo ou prática específica que possa ser de interesse para a comunidade eleitoral, entre em contato [email protected].