Om CISA BOD 20-1

Den amerikanska myndigheten Cybersecurity and Infrastructure Security Agency (CISA) som etablerades 2018 [1] har inom sitt myndighetenuppdrag att skriva, förvalta och följa upp efterlevnad av lagar av typen Binding Operational Directive (BOD) [2]. Utgångsläget är att dessa BODs gäller för alla exekutiva federala myndigheter [3][4].

Den 27:e November kommunicerade myndigheten att ett utkast till BOD 20-01, de viktigaste kraven i dokumentet kan sammanfattas som att varje federal myndighet ska:

1. Etablera en Vulnerability Disclosure Policy (VDP) som:
   • Definierar system inom scope för policyn.
   • Säger att allmänheten har rätt att testa dessa system. Utkastet anger explicit att detta ej får begränsas till någon mindre grupp individer (exempelvis endast amerikanska medborgare).
   • Specificerar tillåtna typer av tester.
   • Anger hur rapporter om sårbarheter ska lämnas.
   • Säger att sårbarhetsrapporten kan lämnas anonymt.
   • Tydliggör att personen som lämnar sårbarhetsrapporten inte kommer att föras inför rätta, så länge som myndigheten bedömer att syftet med identifikationen av sårbarheten ej var att orsaka skada.
   • Förväntad tid det tar för myndigheten att besvara rapporten.
   • Inte kräver att personen som skickar in rapporten identifierar sig själv.
   • Inte kräver att personen underhåller information om sårbarheten för allmänheten utöver någon definierad tid som endast ska vara så lång att den gen myndigheten tid att åtgärda sårbarheten.
2. Etablera en kanal för personer att rapportera upptäckta sårbarheter till myndigheten, innan VDP publiceras.
3. Etablera en process för att hantera sårbarhetsrapporter, som uppfyller definierade krav relaterade till uppföljning, kommunikation, tidslimiter och konsekvensanalys relativt den identifierade sårbarheten.

Under en månads tid kan allmänheten ge feedback beträffande innehållet i utkastet, men om dokumentet fastställs blir det alltså ett lagkrav för alla exekutiva federala myndigheter (med ett fåtal undantag som Central Investigation Agency (CIA) och Departement of Defence (DoD)) att följda vad som angivits ovan [5].

Om direktivet godkänns så ska de federala myndigheterna säkerställa att alla nya system som är nåbara från internet är vara inom scope för policyn inom 6 månader från att direktivet godkänns. CISA kräver även att alla system som tillhör en federal myndighet och är nåbart från internet ska vara inom scope för en VDP enligt ovan, inom två år. Detta gäller även om det är av misstag som systemet är nåbart ifrån internet.

Trots att denna lagstiftning kan tyckas vara något irrelevant för personer som inte arbetar för någon av de exekutiva grenarna av de Amerikanska federala myndigheterna som den kommer att gälla, så tror jag att den kommer att vara opinionsbildande och att det är möjligt att en attitydförändring kommer att ske mot ett öppet och ansvarsfullt förhållningssätt till sårbarhetshantering.

Emellertid så är det inte en självklarhet att myndigheterna som lagen gäller kommer att klara av att efterleva den. Nivån av kraven är inte orimligt hårda, de är exempelvis i linje med [6]. Det är dock att detta innebär en stor förändring för många myndigheter, eftersom majoriteten av federala myndigheter saknar en formell process för att ta emot sårbarhetsrapporter från tredje parter, i nuläget.

[1]- CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY ACT OF 2018: https://www.congress.gov/115/plaws/publ278/PLAW-115publ278.pdf
[2]-Binding Operational Directive 20-01: https://cyber.dhs.gov/bod/20-01/
[3]-Executive Departments: https://en.wikipedia.org/wiki/United_States_federal_executive_departments
[4]-Definition Binding Operational Directive: https://uscode.house.gov/view.xhtml?req=granuleid:USC-prelim-title44-section3552&num=0&edition=prelim
[5] – BOD tvingande: https://uscode.house.gov/view.xhtml?req=(title:44%20section:3554%20edition:prelim)%20OR%20(granuleid:USC-prelim-title44-section3554)&f=treesort&edition=prelim&num=0&jumpTo=true
[6]: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf#page=49