В течение многих лет эксперты по безопасности предупреждали о рисках чрезмерной зависимости правительства от одного поставщика технологий. Недавние Соединенные Штаты Совет по обзору кибербезопасности (CSRB) Отчет, подробно описывающий существенные недостатки безопасности и систематические недостатки у давнего поставщика, подтверждает эти риски. Отчет также появился во время продолжающееся нарушение спонсируемым государством злоумышленником против того же поставщика. Понятно, что эти проблемы не исчезнут. Мы приветствуем работу CSRB, которая оказывает жизненно важную общественную услугу, освещая причины инцидентов и предоставляя важные рекомендации по их устранению. В этом докладе подчеркивается острая и давно назревшая необходимость нового подхода к безопасности.

Сегодня мы делимся тремя рекомендациями о том, как правительства могут устранить уязвимости, описанные CSRB.

Новый подход

По сути, Отчет CSRB показали, что отсутствие твердой приверженности обеспечению безопасности приводит к ошибкам и серьезным нарушениям, которых можно было бы избежать. Ведущие поставщики платформ, особенно те, которые обслуживают организации государственного сектора и критически важную инфраструктуру, несут ответственность за продвижение передового опыта в области безопасности. Как говорится в Национальной стратегии кибербезопасности США, «ответственность должна лежать на тех заинтересованных сторонах, которые наиболее способны действовать, чтобы избежать плохих результатов».

В отчете CSRB также подчеркивается, что многие поставщики, включая Google, уже поступают правильно, разрабатывая подходы, защищающие от тактик, показанных в отчете. Мы поделились с Советом ранее нераскрытыми подробностями относительно нашей личный опыт в ответ на вторжение того же самого злоумышленника более 14 лет назад во время операции «Аврора». Этот инцидент побудили нас реорганизовать нашу внутреннюю инфраструктуру и внедрить новые подходы, в том числе нулевое доверие И анализ угрозтем самым повышая безопасность наших корпоративных клиентов, наших пользователей и отрасли в целом.

Три неотложные меры безопасности, которые могут принять правительства

Законодатели и специалисты по безопасности призвали к новым подходам в ответ на недавние нарушения, и сегодня мы делимся тремя немедленными шагами, которые правительства могут предпринять для устранения ошибок, изложенных в отчете CSRB.

1. Приобретайте системы и продукты, которые безопасны по своей конструкции.

Цифровая безопасность не может быть второстепенной задачей для существующих продуктов. По оценкам Google, каждый программный продукт сначала необходимо пройти тщательную проверку безопасности с самого начала этапа проектирования и на протяжении всего жизненного цикла продукта. Мы поделились своим подходом и рады присоединиться к CISA и другим игрокам отрасли в подписании нового пакета безопасный дизайн принципы на конференции RSA в этом месяце.

2. Предоставьте охране место за столом закупок.

Оценки безопасности технологических продуктов не должны прекращаться, когда продукт соответствует стандартам аккредитации государственного сектора. Жизненный цикл управления технологиями должен включать возможность инициировать повторную сертификацию безопасности для продуктов, пострадавших от серьезных инцидентов безопасности, и учитывать прошлые показатели при принятии решений о покупке. Менеджеры по закупкам уже обязаны учитывать прошлые результаты на основе сроков поставки, качества исполнения и контроля затрат. Безопасность требует такого же подхода во время процесса приобретения, основанного на существующих данных, таких как дефекты продукта, ведущие к предыдущим взломам государственных систем, информации о основные уязвимости, регулярно эксплуатируемыеИ руководящие принципы кибербезопасности выданные государственными учреждениями, такими как CISA.

3. Сокращение монокультуры

Google и другие Мы видим давний риск для организаций государственного сектора, которые используют одного и того же поставщика для своих операционных систем, электронной почты, офисного программного обеспечения и инструментов безопасности. Такой подход увеличивает риск того, что одно-единственное нарушение подорвет всю экосистему. Правительствам следует принять мультивендорную стратегию, а также разработать и продвигать открытые стандарты для обеспечения совместимости, облегчая организациям замену небезопасных продуктов на продукты, более устойчивые к атакам. Наконец, регулирующим органам следует изучить ограничительную практику лицензирования, которая препятствует разнообразию экосистемы поставщиков и препятствует инновациям.

Более безопасная альтернатива

Мы рассчитываем на сотрудничество с правительствами для реализации рекомендаций CSRB по модернизации безопасности; однако мы понимаем, что изменения потребуют времени. Мы рады сообщить о новом Предложение Google Workspace чтобы предоставить организациям государственного сектора США больше выбора — и мы облегчаем переход, поскольку соответствующие критериям клиенты из государственного сектора могут получить выгодные цены на Workspace Enterprise Plus, Assured Controls Plus, Chrome Enterprise Premium, а также поддержку в обучении и миграции.

В сегодняшнем меняющемся ландшафте угроз статус-кво недостаточно хорош, поэтому мы стремимся помочь отрасли развиваться в новом, более безопасном направлении.