تعرضت جميع أقسام التجارة وخزانة الأمن الداخلي والمعاهد الوطنية للصحة. كما تم اختراق قائمة كبيرة من الشركات الخاصة – من بينها Microsoft و Intel و Cisco و Deloitte و Fireeye.
رداً على ذلك ، تطلب بايدن إيو وكالة أمن الأمن السيبراني والبنية التحتية إنشاء “شكل مشترك” للتشويش الذاتي الذي تبيع المنظمات التي تبيع البرامج الحرجة للحكومة الفيدرالية الأحكام الواردة في SSDF. لقد جاء الشهادة من ضابط الشركة.
يزيل Trump’s EO هذا المتطلبات وبدلاً من ذلك يوجه المعهد الوطني للمعايير والتكنولوجيا (NIST) لإنشاء تطبيق أمني مرجعي لـ SSDF دون أي متطلبات شاهد أخرى. سوف يحل التنفيذ الجديد محل SP 800-218 ، وهو التنفيذ المرجعي SSDF الحالي للحكومة ، على الرغم من أن ترامب إيو يدعو إلى إبلاغه بالإرشادات الجديدة.
وقال النقاد إن التغيير سيسمح للمقاولين الحكوميين بتنسيق التوجيهات التي تتطلب منهم إصلاح أنواع نقاط الضعف الأمنية بشكل استباقي الذي مكن من حل وسط Solarwinds.
وقال جيك ويليامز ، وهو قراصنة سابقة لوكالة الأمن القومي التي هي الآن نائب الرئيس للبحث والتطوير لاستراتيجية شركة هانتر في مقابلة: “سيتيح ذلك للناس مربعات الاختيار من خلال” نسخ التنفيذ “دون اتباع روح الضوابط الأمنية في SP 800-218”. “عدد قليل جدًا من المنظمات تتوافق في الواقع للأحكام الواردة في SP 800-218 لأنها تضع بعض متطلبات الأمن المرهقة على بيئات التطوير ، والتي عادة ما تكون [like the] الغرب المتوحش “.
يقوم Trump EO أيضًا بتراجع متطلبات أن الوكالات الفيدرالية تتبنى منتجات تستخدم مخططات التشفير التي ليست عرضة لهجمات الكمبيوتر الكم. وضع بايدن هذه المتطلبات في محاولة لبدء تنفيذ خوارزميات جديدة مقاومة للكمية قيد التطوير بواسطة NIST.
