Yönetim yetkililerine ve Ulusal Siber Direktör Ofisi tarafından bu hafta açıklanan belgelere göre Biden yönetimi, yazılım endüstrisini güvenli olmayan yazılımlardan sorumlu tutacak bir sorumluluk çerçevesi izlemeyi planlıyor.
Federal yetkililer, güvenlik yükünü teknoloji kullanıcılarından endüstriye kaydırmak gibi uzun zamandır dile getirilen bir hedefe yönelik adımlar attıklarını söyledi.
Siber politika ve programlardan sorumlu ulusal siber direktör yardımcısı Nick Leiserson, Pazartesi günü düzenlenen bir panelde, yönetimin siber güvenlik ve dayanıklılığa uzun vadeli yatırım yapılmasına yardımcı olacak teşvikler oluşturmaya yönelik bir plan takip etmek istediğini söyledi. San Francisco’daki RSA Konferansı.
Leiserson, amacın yazılım endüstrisini davalara açmak amacıyla bir sorumluluk çerçevesi oluşturmak olmadığı konusunda uyardı.
Panel tartışması sırasında Leiserson, “Konu bu değil” dedi. “Amaç, güvenli yazılım geliştirmeye yönelik yatırımları güvence altına almaktır.”
Beyaz Saray yazılım sorumluluğu sempozyumuna ev sahipliği yaptı Aralarında Ulusal Siber Direktör Harry Coker Jr., siber güvenlik ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger ve avukat yardımcısının kıdemli danışmanı Maya Song’un da bulunduğu hukuk akademisyenleri, düşünce kuruluşu temsilcileri ve üst düzey yönetim yetkililerinin yer aldığı Mart ayındaki sayı genel.
ONCD yakın zamanda güvenli yazılım geliştirme uygulamalarını en iyi şekilde nasıl takip edebilecekleri konusunda yazılım geliştiricileriyle etkileşime geçmeye başladı. Yetkililer, bu yılın sonuna doğru bu erişimi tüketici savunucularını ve kritik altyapı sağlayıcılarını da kapsayacak şekilde genişletmeyi planlıyor.
Şu anda, yazılım lisans anlaşmaları temelde şirketleri sorumluluk sınırlamaları ve sorumluluk reddi nedeniyle açılacak davalardan koruyor. Stanford Üniversitesi Jeopolitik, Teknoloji ve Yönetişim Programında kıdemli politika danışmanı James Dempsey, Panelin moderatörlüğünü kim yaptı?
ONCD, yazılım sorumluluğunun takibini kendi kapsamına dahil etti. siber güvenlik duruş raporu bu hafta yayınlandı.
Bir grup 68 teknoloji ve güvenlik firması Çarşamba günü Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan, çok faktörlü kimlik doğrulama, varsayılan şifrelerin ortadan kaldırılması ve güvenlik açığının ifşa edilmesi konusunda daha fazla şeffaflık sağlama gibi güvenli uygulamaları etkinleştirmeyi taahhüt ettikleri bir güvenlik taahhüdünü kabul ettiler.
Yine de bu tedbir gönüllülük esasına dayalıydı ve CISA’nın bunun arkasında resmi bir yaptırım mekanizması bulunmuyor.
CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein, ajansın ONCD’nin sorumluluk tedbirleri oluşturma çabalarını desteklediğini söyledi.
“CISA’nın Güvenli Tasarım taahhüdü gibi gönüllü eylemlere paralel olarak, böyle bir yaklaşım, baştan itibaren güvenlikle oluşturulan ürünlerin bir istisna değil norm olduğu ve siber güvenlik sorumluluğunun bu konuda en yetenekli kuruluşlara tahsis edildiği bir gelecek yaratabilir. Buna katlanın,” dedi Goldstein e-postayla gönderdiği bir açıklamada.
Yazılım sorumluluğuna ilişkin sorular, çeşitli yönetimlere dayanan en az 30 yıldır ortalıkta dolaşıyor. Ancak Biden yönetimi güvenlik yükünü kullanıcılardan uzaklaştırmak için baskı yaptı.
Güvenli yazılımdaki temel sorunlar arasında, kötü niyetli aktörlerin yararlanabileceği güvenlik açıklarına yol açan koddaki temel zayıflıklar yer alır.
Daha geçen hafta FBI ve CISA teknoloji üreticilerini bu konuda adım atmaya çağırdı. dizin geçişi güvenlik açıklarını ortadan kaldırın onların uygulamalarından. Bu uygulamalar ABD’deki en kötü sömürü kampanyalarından bazılarıyla bağlantılıdır. ConnectWise ScreenConnect güvenlik açığı Şubatta.
Sonatype kurucu ortağı ve CTO’su Brian Fox, yazılım endüstrisi için bir sorumluluk rejiminin çoktan gecikmiş olduğunu söyledi. 15 yıldır sektörü böyle bir çerçeveye duyulan ihtiyaç konusunda eğitmek için çalışıyor ve mevcut durumda ek önlemler alınmasına ihtiyaç duyulduğunu söylüyor.
Fox, “Burada temel olarak piyasa başarısızlığına bakıyoruz” dedi. “İşte bu noktada hükümetin düzeltme yapması gerekiyor.”