Amerikaanse overheidsinstanties moeten ernstige beveiligingslekken in systemen die vanaf het internet toegankelijk zijn voortaan binnen 15 dagen patchen, zo heeft het Amerikaanse ministerie van Homeland Security bepaald. Voor kwetsbaarheden waarvan de impact als "High" is bestempeld geldt een deadline van 30 dagen.
Volgens het ministerie zijn steeds meer systemen van overheidsdiensten via internet toegankelijk, waardoor het belangrijker dan ooit is om kwetsbaarheden snel te dichten. Aanvallers zouden hier anders misbruik van kunnen maken om toegang tot overheidsnetwerken te krijgen. Het ministerie wijst naar recente berichten van overheidsinstanties en bedrijven dat de gemiddelde tijd tussen de ontdekking en misbruik van een kwetsbaarheid aan het afnemen is.
"De federale overheid moet bewuste stappen nemen om het algehele aanvalsoppervlak te beperken en het risico van ongeautoriseerde toegang tot federale informatiesystemen zo snel als mogelijk te verkleinen", aldus Binding Operational Directive 19-02 van Homeland Security. Om kwetsbare systemen te vinden zal het Cybersecurity and Infrastructure Security Agency (CISA) zogeheten "Cyber Hygiene" scans uitvoeren. Overheidsinstanties moeten de ip-adressen die deze scans uitvoeren dan ook van hun blocklists halen.
Zodra er kwetsbare systemen worden gedetecteerd hebben organisaties afhankelijk van de impact van de kwetsbaarheid maximaal 15 of 30 dagen de tijd om de gevonden beveiligingslekken te verhelpen. De deadline gaat in op het moment dat het lek gevonden wordt, in plaats van wanneer de betreffende overheidsdienst wordt gewaarschuwd. Organisaties worden echter opgeroepen om beschikbare beveiligingsupdates zo snel als mogelijk uit te rollen. In het geval overheidsinstanties stellen dat het niet haalbaar is om kwetsbaarheden binnen de gestelde deadline te patchen zal CISA in geval tot geval bekijken of uitstel mogelijk is.
Deze posting is gelocked. Reageren is niet meer mogelijk.