vad det är:
hårdvara, mjukvara och firmware är de tre kärnkomponenter som utgör dagens datorer och system. Hårdvara innehåller de fysiska komponenterna i ett datorsystem, som kan slita ut över tiden och kräva ersättning. Programvaran innehåller uppsättningar av instruktioner som tillåter en mängd olika ingångar från användaren., Firmware är en specifik typ (eller delmängd) av programvara som är utformad för att fungera som mellanhand mellan programvaran och hårdvaran eller för drift av enstaka inbyggda system, såsom skrivare eller routrar. Slutanvändare har vanligtvis begränsad interaktion med firmware och det ändras sällan. Exempel på dessa kärnkomponenter är:
Varför spelar det någon roll:
hårdvara, programvara och firmware har var och en en en roll i den Informationsteknik (IT) som valtjänstemän använder., I ett valekosystem är den fysiska omröstningsmaskinen hårdvaran, valprogrammeringsprogrammet är programvaran och streckkodsläsare körs sannolikt på firmware. Detta är viktigt att förstå ur ett upphandlingsperspektiv som valtjänstemän försöker få ny utrustning. Olika komponenter kan utvecklas och tillverkas av en mängd olika leverantörer och sedan förpackas av en enda leverantör. Detta påverkar behovet av att genomföra en adekvat riskhantering i leveranskedjan.,
skillnaderna mellan maskinvara, programvara och firmware är viktiga för lapp-och sårbarhetshantering. Som en fysisk komponent är hårdvaruproblem svåra att åtgärda utan fullständig ersättning, även om vissa kan mildras genom firmwareuppdateringar. Tidigare var firmware svår att uppdatera eftersom den vanligtvis bodde på skrivskyddat minne. Medan uppdateringar nu är vanligare har de en relativt hög risk för att påverka funktionaliteten, så tillverkarna är ovilliga att ge dem ofta., Programvarans sårbarheter är vanligtvis lättast att åtgärda, traditionellt genom regelbundna säkerhetsuppdateringar. Programvarans sårbarheter är fortfarande de primära vektor-Cyber-hotaktörerna använder för att utnyttja system, vilket gör programvaran till den viktigaste Systemkomponenten för att övervaka och uppdatera med rutinmässiga och Ad hoc-säkerhetsplåster.
slutligen påverkar leverantörens end-of-support hårdvara, programvara och firmware annorlunda. I vissa fall kan end-of-support-programvara bli oanvändbar på grund av andra beroenden, medan end-of-support-firmware sannolikt kommer att fortsätta att fungera som utformad., Även efter att sårbarheter har identifierats kommer leverantören inte att utfärda ett säkerhetsmeddelande eller patch, men fysiska och mjukvarubegränsningar är ibland tillgängliga för att säkra end-of-support-programvara och firmware. Under tiden, när hårdvara närmar sig slutet av stödet, har reservdelar begränsad tillgänglighet. För alla komponenter, support eller felsökning inte längre tillhandahålls vid slutet av-stöd.
vad du kan göra:
skillnader mellan hårdvara, mjukvara och firmware kräver valtjänstemän att överväga säkerheten holistiskt. Tjänstemän måste planera för uppdateringar och inkurans., Innan någon begränsning kan införas måste valkontoren göra en inventering av alla hårdvaru-och mjukvarutillgångar som de ansvarar för enligt beskrivningen i CIS-kontrollerna 1 och 2. CIS uppmuntrar valkontor att ha sin IT-Personal rutinmässigt granska och verifiera deras inventering och se till att programvara och firmware uppdateras med de senaste säkerhetsplåster och att hårdvaran fungerar korrekt., Ei-ISAC Monthly Cybersecurity Advisory Summary lyfter fram kritiska säkerhetsplåster för vanligt använd programvara under föregående månad och kan användas som checklista för att säkerställa att systemen är lappade.
vid upphandling av ny utrustning bör valtjänstemän överväga behovet av att bedöma försörjningskedjan både för utrustningen som helhet och för varje komponent för att säkerställa att oväntade sårbarheter och modifieringar inte införs., Best Practice 23 Från oss: s ”Guide for Assurance Security in Election Technology Procurements” ger värdefull vägledning för att ta itu med problem i försörjningskedjan. Dessutom bör valtjänstemän granska National Counterintelligence och Security Centers ”13-element i ett effektivt SCRM-Program”, som ger rekommendationer om processutformning, säkerhetskrav och riskreducering.
ei-ISAC Cybersecurity Spotlight är en praktisk förklaring av ett gemensamt cybersäkerhetskoncept, evenemang eller praxis och dess tillämpning på Valinfrastrukturens säkerhet., Syftet är att ge ei-ISAC-medlemmar en fungerande förståelse för gemensamma tekniska ämnen inom cybersäkerhetsbranschen. Om du vill begära en viss term eller praxis som kan vara av intresse för valsamhället, vänligen kontakta [email protected].