Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Avustralya, Kanada, Almanya, Hollanda, Yeni Zelanda ve ABD’deki muadilleriyle bir araya gelerek, teknoloji üreticilerinin tasarım gereği güvenli ve geliştirme aşamasında ürünlerine varsayılan olarak güvenli ilkeler.
Başlıklı Siber güvenlik riskinin dengesini değiştirmek: Tasarım gereği güvenlik ve varsayılan güvenlik için ilkeler ve yaklaşımlarkılavuz ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) aracılığıyla indirilebilir.
Grup, güvenliğin ek bir teknik özellik olarak ele alındığı veya kullanıcıların satın aldıktan sonra kendilerini güvende tutmak için potansiyel olarak karmaşık yapılandırma değişiklikleri yapması gereken cihaz ve ürünlerin, insanları gereksiz yere güvenlik risklerine ve potansiyel olarak siber saldırılara maruz bıraktığını söyledi.
Kılavuz, üreticilere atabilecekleri ve almaları gereken eyleme geçirilebilir adımların bir yol haritasını sağlayarak sıradan kullanıcıların üzerindeki risk yükünü azaltma girişimi olarak sunulmuştur.
NCSC CEO’su Lindy Cameron, “Hayatlarımız giderek daha fazla dijital hale geldikçe, hayati önem taşıyan teknoloji ürünlerinin güvenliği temel bir gereklilik olarak tutacak şekilde tasarlanması ve geliştirilmesi gerekiyor” dedi.
“Yeni ortak rehberimiz, sohbeti güvenlik standartları etrafında yönlendirmeyi ve siber risk yükünün artık büyük ölçüde tüketici tarafından taşınmaması için kadranı döndürmeye yardımcı olmayı amaçlıyor. Teknoloji üreticilerini bu kılavuzdaki tavsiyelere aşina olmaya ve toplumumuzun çevrimiçi ortamda güvenli ve esnek olmasını sağlamaya yardımcı olmak için ürünlerinde tasarım gereği güvenli ve varsayılan olarak güvenli uygulamalarını uygulamaya çağırıyoruz.”
CISA direktörü Jen Easterly şunları söyledi: “Yazılım üreticilerinin güvenliği, ürünleri için tasarımın ilk aşamalarına entegre etmelerini sağlamak, güvenli ve dirençli bir teknoloji ekosistemi oluşturmak için kritik öneme sahiptir.
“Bu tasarım gereği güvenli ve varsayılan olarak güvenli ilkeleri, tüm teknoloji kullanıcılarını daha iyi korumak için dünya genelinde endüstri çapında değişimi hızlandırmaya yardımcı olmayı amaçlıyor. Yazılım artık her gün toplu olarak güvendiğimiz kritik sistemlere ve hizmetlere güç verdiğinden, tüketiciler üreticilerin ürün güvenliğini her şeyin üzerinde tutmasını talep etmelidir” dedi Easterly.
Avustralya Siber Güvenlik Merkezi (ACSC) başkanı Abigail Bradshaw şunları ekledi: “Siber güvenlik sonradan düşünülemez. Tüketiciler en başından itibaren güvenli ürünleri hak ediyor. Siber güvenliği teknoloji tasarım sürecinin merkezine yerleştirmek için hükümet, endüstri ve halk arasında güçlü ve devam eden etkileşim hayati önem taşıyor.”
Kılavuzun içerikleri arasında, üst düzey liderliği güvenlik ilkeleriyle ilişkilendirmeye yönelik stratejiler; ve geliştirme ekiplerinin, varsayılan parolaları ortadan kaldırmak ve çoklu oturum açma (SSO) özelliklerini uygulamak, ürünlerin otomatik olarak etkinleştirdiği varsayılan bir güvenlik temeli oluşturmak gibi, kuruluşların ürünlerinin güvenlik sonuçlarının sahipliğini almasına yardımcı olmak için üstlenebileceği taktik adımlar. işletmeleri kötü niyetli siber aktörlerden korumak için gerekli güvenlik kontrolleri.
Kuruluşları, güvenlik açığı tavsiyelerinin ve yeni tanımlanan ortak güvenlik açığı ve maruz kalma (CVE) kayıtlarının eksiksiz, doğru ve halka açık olmasını sağlamak gibi “radikal şeffaflık ve hesap verebilirlik” uygulamaya teşvik eder.
Ayrıca, kuruluşlara kendi teknoloji tedarikçilerini siber güvenlik sonuçlarından sorumlu tutma konusunda tavsiyeler ve güvenli uygulamaları teşvik etmek için tedarik zincirleri arasında geliştirilmiş işbirliğine ilişkin öneriler içerir.