CISA發佈了一篇CISA 宣布推出安全設計警報系列:供應商決策如何在全球範圍內減少危害
美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,以下簡稱CISA)於2023年4月13日發布了安全設計警示系列(Secure Design Alert Series),旨在提醒供應商和開發者在設計和開發產品時,應考慮網路安全的重要性,並採取相應的措施,以減少其產品可能對全球網路安全造成的損害。
CISA表示,安全設計警示系列是其推動安全設計原則(Secure by Design Principles)的一部分,這些原則是在2023年國家網路安全戰略(National Cybersecurity Strategy)中提出的,目的是要求供應商和開發者在產品的設計、開發和部署階段,就將安全作為一個關鍵因素,而不是在產品上市後再進行補救。
CISA指出,安全設計警示系列將涵蓋多個主題,包括如何避免使用不安全的預設設定、如何確保產品的更新和維護、如何提供安全的身份驗證和授權機制、如何保護用戶的數據和隱私等。CISA希望通過這些警示,能夠提高供應商和開發者的安全意識,並促進他們與CISA和其他合作夥伴的溝通和協調,以共同應對網路威脅。
CISA的執行助理主任Eric Goldstein表示,安全設計警示系列是CISA為了保護美國和全球的網路安全而採取的一項重要行動,他說:“我們必須從源頭上解決網路安全問題,讓供應商和開發者在設計和開發產品時,就考慮到安全的影響,並採取負責任的決策。這樣才能減少網路攻擊的風險,並提高用戶的信任和滿意度。”
CISA還表示,安全設計警示系列是其在2023年推出的多項安全設計相關的倡議之一,其他倡議還包括與K-12教育技術供應商簽署安全設計承諾書,以及成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,以下簡稱JCDC),通過公私部門的合作,制定國家網路事故應對策略。
CISA呼籲所有的供應商和開發者關注安全設計警示系列,並遵循其提供的建議和最佳實踐,以提高產品的安全性和質量,並保護用戶的利益。CISA也歡迎各方的反饋和建議,以改進安全設計警示系列的內容和形式。
安全設計警示系列的第一期主題是“不要使用不安全的預設設定”,詳情可以在CISA的官方網站上查看。CISA表示,將會定期發布後續的主題,並通過社交媒體和電子郵件等渠道進行推廣。
詳情請看:
CISA Announces Secure by Design Alert Series: How Vendor Decisions Can Reduce Harm at a Global Scale