Yazılım güvenlik manzarası ilginç bir kavşakta. Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) eski direktörü Jen Easterly, 1960’ların otomotiv endüstrisinden alınması gereken bir ders var. Emniyet kemerleri, buruşuk bölgeler ve güçlendirilmiş çerçeveler de dahil olmak üzere daha iyi tasarımlar oluşturarak otomobil güvenliğini artırma yaklaşımı, hayat kurtarmada meydana geldikten sonra kazalara yanıt vermekten çok daha etkili olduğunu kanıtladı.
Yazılım sağlayıcılarının aynı yaklaşımı benimsemeleri ve reaktif risk yönetiminden artan siber tehditlerle mücadele etmek için proaktif hesap verebilirlik almaya geçerek tasarım yoluyla güvenli çözümler sunmaları gerekir. Bu, siber koruma seviyesi anlaşmaları (CPLA) gibi yenilikçi araçların benimsenmesi ve yaşam hizmeti yönetiminin sağlanması, birçok endüstri standartlarının parçalanmış ve örtüşen doğasının net bir şekilde anlaşılmasını gerektirecektir.
Parçalanmış ve örtüşen standartlar
Son yıllarda ISO 27001 (ISO/IEC27034 dahil), NIST, OWASP ve AB Siber Esneklik Yasası dahil olmak üzere dünya çapında güvenlik çerçevelerinin sayısında hızlı bir genişleme olmuştur. Genellikle düzenleyici, müşteri veya müşteri baskısı tarafından yönlendirilen birçok kuruluş, bu standartlara uymaya çalışmıştır. Bununla birlikte, birden fazla coğrafi yargı alanında faaliyet gösterenler için, bu örtüşen ve zaman zaman çelişkili standartlar uymayı zorlaştırır. Yazılım tedariki söz konusu olduğunda, birçok CIS tedarikçi değerlendirmesi ile mücadele ediyor ve güvenlikteki boşlukların olasılığı konusunda endişeli.
Standartlara birleşik bir yaklaşım olmadan, kuruluşlar boşluklardan yararlanan güvenlik açıklarına maruz kalma riskiyle karşı karşıya kalırlar. Tedarik zinciri saldırıları, Solarwinds Sunburst İhlali veya Crowdstrike yazılım güncelleme olayı gibi, söz konusu olanların hatırlatıcılarıdır: operasyonel bozulma, yasal işlem ve paydaş güvenine verilen hasar. Daha tutarlı standartlar sadece bu riskleri azaltmakla kalmaz, aynı zamanda uyumluluğu da basitleştirir.
Cplas nedir?
CPLAS, tedarikçilerin tedarik sözleşmeleri içindeki güvenlik taahhütlerini resmileştirerek pratik bir çözüm sunar. Güvenli yazılım tedarikçilerinin hem mevcut hem de gelecek birçok siber güvenlik standartlarına uygunluğu düşünmelerini sağlamanın bir yolunu sunarlar. Hizmet düzeyi anlaşmaları (SLAS) üzerinde modellenen CPLA’lar, güvenlik açığı değerlendirmeleri, yama zaman çizelgeleri ve net ve uygulanabilir yükümlülükler oluşturmak için olay raporlama protokolleri gibi ölçülebilir standartları tanımlar.
Tedarikçi taahhütlerindeki belirsizlik genellikle önlenebilir risklere yol açar, ancak geçerli standartlardan ve düzenlemeden alınan gereksinimleri belirleyerek CPLAS hesap verebilirlik yaratır. Bu, tedarikçilerin köşeleri kesmesini önler ve tutarlı bir koruma seviyesi sağlar.
CPLA’lar şunları belirtmelidir:
- Papch Saati Garantileri: Kritik güvenlik açıkları 72 saat içinde yamalı.
- Yazılım Malzeme Yasası (SBOM) Şeffaflık: Üçüncü taraf kütüphaneler dahil yazılım bileşenlerinin tam olarak açıklanması.
- Olay Yanıtı KPIS: Tanımlı kurtarma süresi hedefleri ve ihlaller için raporlama yükümlülükleri.
- Yaşam döngüsü taahhütleri: Devam eden güncellemeler ve yaşam sonu geçiş planları.
Tedarikçileri için net, uygulanabilir hedefler belirleyerek, kuruluşlar kesinti süresinde indirimler, en aza indirilmiş saldırı vektörleri ve daha az olay görmelidir.
Yaşam-Yaşam Hizmet Yönetimi
Güvenli yazılım alımı sürekli yönetim gerektirir. Bu, düzenli denetimler, güvenlik açığı izleme ve güvenlik ediniminden hizmetten çıkarmaya kadar güvenliği yönetmek için ömür sonu planları içeren yaşam-yaşam hizmet yönetimi ile elde edilebilir. Yaşam-yaşam yönetimi olmadan kuruluşlar, desteklenmeyen veya güvensiz yazılımları miras alma riskiyle karşı karşıya kalır, bu da operasyonel güvenlik açıklarına ve artan maliyetlere yol açar.
Güvenli yazılım tedarikine hesap verebilirlik oluşturmak
Bu riskler, güvenliği satın alma ihtiyacının altını çizmek ve bir kerelik bir görev değil, sürekli bir süreç olarak görüldüğünden emin olun. Bu, tedarikleri uzun vadeli güvenlik hedefleriyle hizalayarak ve satıcıların güvenli tasarım ilkeleri göstermelerini gerektirerek başlar. CPLA’lar, sürecin bir parçası olarak değerlendirilen sözleşmeler ve satıcıların SBOM’larına ve güvenli geliştirme uygulamalarına entegre edilmelidir.
Hizmet geçişi noktasında, yazılım penetrasyon testleri gibi titiz testlerle doğrulanmalıdır. Hizmet o zaman faaliyete geçtikten sonra, CPLA metriklerine karşı performansın izlenmesi gerekir. Tüm bunlara, gelecekteki sözleşmeler için dersleri öğrenmek için olay incelemelerinden yararlanmak için sürekli hizmet geliştirmeye odaklanılmalıdır.
Bu ilkeleri gömmek, tedarikçilerle müzakere ederken kuruluşları daha güçlü bir konuma getirir.
Standartları pekiştirmek için AI’dan yararlanmak
Yapay Zeka (AI), bu parçalanmış güvenlik ortamında gezinmede de çok önemli bir rol oynayabilir. Standartları değerlendirmek ve uyumlu hale getirmek için mevcut süreçler manuel, tutarsız ve hataya eğilimlidir. Doğal dil işleme ile donatılmış AI araçları, standartlar arasında örtüşmeyi haritalayabilir, orijinal çerçevelerle izlenebilir birleşik gereksinimler yaratabilir, tedarik ekipleri için zaman tasarrufu sağlayabilir. Ortaya çıkan gerçek zamanlı uyumluluk izleme araçları, güvenlik yükümlülüklerini otomatik olarak uygulama, insan hatasını azaltma ve verimliliği artırma potansiyeline sahiptir.
İşbirliği: Uyumlanmış Standartlara Yol
CPLA ve AI araçları dahili çözümler sunarken, sistemik değişim işbirliği gerektirir. AB Siber Esneklik Yasası’nda görüldüğü gibi alıcı konsorsiyumları ve düzenleyici uyum, evrensel güvenlik temelleri oluşturabilir.
Bu tür bir işbirliği, çoğaltmayı azaltır, uyumluluğu kolaylaştırır ve hem tedarikçiler hem de alıcılar için maliyetleri düşürür. Evrensel Standartlar düz bir oyun alanı oluşturur ve kuruluşların güvenli ve güvenilir satıcıları tanımlamasını kolaylaştırır.
CISOS ve Tedarik Liderleri için Sonraki Adımlar: Sonuç
2025’te güvenli yazılım alımı hayati önem taşır. Kuruluşlar, parçalanmış standartları birleştirerek, CPLA’lar aracılığıyla tedarikçi hesap verebilirliğini uygulayarak ve yaşam hizmeti yönetimini benimseyerek riskleri azaltabilir ve esnekliği artırabilir. Bahisler yüksek, ama fırsatlar da öyle. Şimdi kararlı davranmak, kuruluşları siber tehditlerden koruyabilir ve yazılım endüstrisini inovasyon kadar öncelik veren bir sektöre yeniden şekillendirebilir.
Robert Campbell, PA Consulting’de bir siber güvenlik uzmanıdır