Nové výkonné nařízení o kybernetické bezpečnosti si klade za cíl modernizovat federální kybernetickou bezpečnost s klíčovými ustanoveními pro postkvantové šifrování, rizika umělé inteligence a bezpečný vývoj softwaru.
Dne 6. června 2025 vydal Bílý dům (v USA) nový výkonný příkaz (EO), jehož cílem je modernizovat kybernetickou bezpečnost země. Vzhledem k tomu, že kybernetické hrozby se neustále vyvíjejí co do rozsahu a sofistikovanosti, tento příkaz posiluje závazek federální vlády bránit digitální systémy, které pohánějí kritické služby, infrastrukturu a národní bezpečnost. Zároveň znovu vytváří naléhavou potřebu řízení zranitelností tím, že vyzývá federální agentury, aby do svých stávajících postupů řízení zranitelností začlenily řízení zranitelností v oblasti umělé inteligence.
Klíčové změny zavedené výkonným nařízením
Řešení bezpečnosti umělé inteligence a internetu věcí
Namísto zavádění nových omezení technologií umělé inteligence se EO zaměřuje na viditelnost a řízení zranitelností v rámci softwaru a systémů umělé inteligence. Federálním agenturám dává lhůtu do 1. listopadu 2025, aby začlenily řízení zranitelností softwaru umělé inteligence do svých stávajících postupů řízení zranitelností. EO rovněž podporuje spuštění dobrovolného programu Cyber Trust Mark, který má pomoci zabezpečit spotřebitelská a federální zařízení IoT podporou transparentnosti a základní ochrany.
Podpora silnější správy oprav
Výkonný úřad nařizuje Národnímu institutu pro standardy a technologie (NIST), aby aktualizoval speciální publikaci 800–53 (Bezpečnostní a soukromoprávní opatření pro informační systémy a organizace) a poskytl tak pokyny, jak bezpečně a spolehlivě nasazovat záplaty a aktualizace.
Posílení obrany kritické infrastruktury
Provozovatelé kritické infrastruktury, zejména v energetice, komunikacích a dopravě, jsou vyzýváni k dodržování zvýšených bezpečnostních standardů. To zahrnuje hlubší koordinaci s Agenturou pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) a dodržování rámců, jako je Federální operační plán pro sladění kybernetické bezpečnosti (FOCAL).
Důraz na bezpečný vývoj softwaru
Federální agentury jsou nyní povinny zavést aktualizované postupy pro bezpečný vývoj softwaru v souladu s revidovanými pokyny NIST. To zahrnuje hlubší integraci aktualizovaného rámce pro bezpečný vývoj softwaru (SSDF) a vylepšené atestace dodavatelů pro integritu softwaru.
Příprava na kvantově bezpečné šifrování
Vzhledem k dlouhodobým rizikům, která představují kvantové výpočty, nařizuje EO, aby federální agentury začaly přecházet na postkvantové kryptografické standardy. Agentury musí provést inventuru stávajících kryptografických aktiv a vypracovat migrační plány pro ochranu citlivých dat do budoucna.
Posílení internetové infrastruktury
Úřad pro zabezpečení dat (EO) nařizuje opatření k zabezpečení protokolu Border Gateway Protocol (BGP), základní součásti internetového směrování. Od agentur se očekává, že posoudí a posílí svou síťovou infrastrukturu, aby se chránily před únosem BGP a souvisejícími riziky.
Sladění politiky s praxí
Výkonný příkaz zejména uvádí, že „politiky agentur musí sladit investice a priority s cílem zlepšit viditelnost sítě a bezpečnostní kontroly s cílem snížit kybernetická rizika.“ Dále vyzývá ředitele Úřadu pro řízení a rozpočet, aby vydal pokyny pro řešení kritických rizik a přizpůsobení moderních postupů a architektur napříč federálními informačními systémy a sítěmi.
Proč je to důležité pro federální agentury
Tato výzva k zajištění bezpečnosti zdůrazňuje důležitost přechodu od reaktivní k proaktivní kybernetické bezpečnosti. Řešením nově vznikajících rizik – jako je zneužívání umělé inteligence, postkvantové hrozby a slabiny dodavatelského řetězce softwaru – administrativa signalizuje potřebu adaptability a neustálého zlepšování. Výzva také zdůrazňuje potřebu bezpečné správy záplat, posílených standardů kritické infrastruktury a koordinace s CISA a tlak na federální agentury, aby sladily své politiky, investice a postupy s cílem lépe řídit kybernetická rizika.
Jak může Tenable pomoci
Jakožto dlouholetý partner federální vlády poskytuje společnost Tenable autorizovaná řešení FedRAMP, která pomáhají federálním agenturám proaktivně identifikovat a snižovat kybernetická rizika. Tenable One FedRAMP poskytuje jednotný přehled a prioritizaci na základě rizik v rámci IT, OT, cloudové infrastruktury a systémů identity. Společnost Tenable je hrdá na to, že je jedním z původních signatářů závazku „Secure by Design“ organizace CISA a aktivním partnerem Národního centra excelence pro kybernetickou bezpečnost. Tenable zákazníkům sdělil, jaké kroky podnikli k implementaci ustanovení tohoto závazku.
Díky schopnostem zaměřeným na bezpečné postupy vývoje softwaru, průběžnou správu zranitelností, vyhledávání kryptografických aktiv a detekci rizik s využitím umělé inteligence umožňuje Tenable agenturám plnit vyvíjející se mandáty výkonného nařízení. Integrací komplexních poznatků o rizicích do stávajících bezpečnostních pracovních postupů pomáhá Tenable agenturám zavádět principy nulové důvěry, porozumět tomu, jak bezpečně a rychle nasazovat záplaty a aktualizace, urychlovat reakci na incidenty a udržovat průběžné dodržování předpisů, a to vše při posilování celkové kybernetické odolnosti na podporu cílů národní bezpečnosti.
Zajímají vás novinky, nebo řešení od společnosti Tenable?
Zdroj: Tenable
