Департаменти торгівлі, фінансів, внутрішньої безпеки та Національні інститути охорони здоров’я зазнали зламу. Велика кількість приватних компаній, серед яких Microsoft, Intel, Cisco, Deloitte і FireEye, також стали жертвами атак.
У відповідь на це адміністрація Байдена видала указ, який зобов’язав Агентство з кібербезпеки та захисту інфраструктури (CISA) розробити “уніфіковану форму” самопідтвердження для організацій, що постачають критично важливе програмне забезпечення федеральному уряду, про дотримання положень Стандарту безпеки програмного забезпечення (SSDF). Таку самопідтвердження повинні надавати посадові особи компаній.
Згідно з новим указом адміністрації Трампа, ця вимога скасовується, і замість цього Національний інститут стандартів і технологій (NIST) має розробити еталонну реалізацію безпеки для SSDF без вимоги подальшого самопідтвердження. Нова реалізація замінить вже існуючу еталонну реалізацію SSDF SP 800-218, хоча указ Трампа передбачає, що нові вказівки будуть базуватися на попередніх.
Критики зазначили, що такі зміни дозволять підрядникам уряду обходити директиви, які вимагали б від них проактивного виправлення тих вразливостей безпеки, які призвели до зламу SolarWinds.
«Це дозволить компаніям відмічати галочки в списку ‘ми скопіювали реалізацію’, не дотримуючись насправді духу контролю за безпекою в SP 800-218», — сказав Джейк Вільямс, колишній хакер Національної безпеки, а нині віце-президент з досліджень і розвитку в компанії Hunter Strategy. «Дуже небагато організацій насправді дотримуються вимог SP 800-218, оскільки вони встановлюють обтяжливі вимоги до безпеки для розробницьких середовищ, які зазвичай нагадують Дикий Захід».
Указ Трампа також скасовує вимоги для федеральних агентств використовувати продукти, які застосовують схеми шифрування, що не підлягають атакам з використанням квантових комп’ютерів. Байден запровадив ці вимоги з метою прискорення впровадження нових алгоритмів, стійких до квантових атак, які розробляє NIST.