Teknoloji pazarındaki başarısızlıklar, Birleşik Krallık’ın sonuçta BT tedarikçilerini ürünlerini güvence altına almaya zorlayacak bir yasa çıkarması gerekip gerekmeyeceği konusunda hükümette tartışmalara yol açıyor.
Politika danışmanları, yazılım ve donanım tedarikçilerini siber saldırılara karşı dayanıklı ürünler geliştirmenin değerli olduğuna ikna etmenin tek yolunun mevzuat olabileceğine inanıyor.
Bu, Birleşik Krallık’ın, Ulusal Siber Güvenlik Stratejisi kapsamında yazılım tedarikçilerini güvenli olmayan ürün ve hizmetler sunmaları halinde yasal olarak sorumlu tutmayı teklif eden ABD’yi takip ettiğini gösterebilir.
Sorun, sinyal istihbarat teşkilatı GCHQ’nun bir parçası olan Ulusal Siber Güvenlik Merkezi’nin (NCSC) baş teknoloji sorumlusu Ollie Whitehouse’u ilgilendiriyor.
Bu hafta Birmingham’da düzenlenen bir konferansta, pazarın teknoloji tedarikçilerini, yazılımlarının güvenlik açıklarından arınmış olmasını sağlamak için zaman, para ve çaba harcamaya teşvik etmekte başarısız olduğunu söyledi.
Whitehouse, istediğimiz ve ihtiyaç duyduğumuz siber dirençli teknolojiyi üretme konusundaki zorluğu “bir pazar sorunu” olarak nitelendirdi ve şunu ekledi: “Kendimize şunu sormalıyız: Bunun neden pratikte gerçekleştirilemediğini?”
Bunun nedeni teknik yetenek eksikliği değil. Yazılım tedarikçileri siber dirençli teknolojinin nasıl geliştirileceğini biliyor. Örneğin, siber saldırıların bilgisayar ağları boyunca yayılmasını önlemek için bilgisayar belleğindeki yalıtılmış bölümlerde tutulmasının mümkün olduğunu gösteren CHERI araştırma projesini ele alalım. Ayrıca hata içeren kodun alınmasına ve güvenli bir şekilde çalıştırılmasına da olanak sağladı.
Ancak bunun gibi gelişmiş programlar olmasa bile Whitehouse, tedarikçilerin temelleri doğru şekilde yapamadıklarını savundu. 2022 ile 2023 yılları arasında kaydedilen yeni güvenlik açıklarının sayısı %14 artışla 40.000’in üzerine çıktı. “Ve bunlar sorumlu bir şekilde ifşa edilenleri biliyoruz” dedi.
“Zayıflıkları biriktiren çeşitli düşmanların olduğunu biliyoruz. Ve bu bileşik büyümedir” dedi konferansta. “Benzer şekilde, çözümlerin güvenlik etkinliği pratikte fark edilmiyor; çözüm tek başına veya operasyonlarda. Gerçeğe uymayan iddialarımız var” dedi.
Yazılım ve güvenlik ürünleri pazarı, Whitehouse’un “siber güvenliğin düşmanı” olarak adlandırdığı değer ve maliyete göre şekilleniyor. Yönetim kurulundaki yöneticiler bile “siber yorgunluk” hissediyor ve üç yıllık programları uzun vadeli yatırımlara tercih ediyor.
Cyber UK güvenlik konferansında konuşurken, “Son derece teknik, giderek daha karmaşık, sürekli gelişen ve daha da önemlisi maliyetli bir riskle karşı karşıya kaldığımızda kendimize teşviklerin ne olduğunu sormamız gerekiyor” dedi.
“Zayıflıkları biriktiren çeşitli düşmanların olduğunu biliyoruz. Benzer şekilde çözümlerin güvenlik etkinliği de pratikte gerçekleşmemektedir. Gerçeğe uymayan iddialarımız var”
Ollie Whitehouse, NCSC
Onlarca yıldır bilinen güvenlik açıkları sınıflarını içeren güvenlik ürünleri günümüzde kullanılmaktadır. Sorunun bir kısmı, yatırımcıların teknoloji şirketlerini satın alması ve 15 yıllık teknolojiyi güncel hale getirmek için yatırım yapmadan satmaya devam etmesi.
Diğer hizmetlerin yanı sıra internet servis sağlayıcılarına, yönetilen hizmet sağlayıcılara, telefon şirketlerine ve finansal hizmet şirketlerine kötü amaçlı web siteleri hakkında veri sağlayan ve kötü amaçlı bağlantıları otomatik olarak engellemelerine olanak tanıyan NCSC’nin aktif siber savunma programı gibi kısa vadeli düzeltmeler mevcuttur. .
Araştırmacılar, yazılımın ne kadar güvenli olduğunu ölçmenin yollarını geliştirmek için akademik çalışmaların da sürdüğünü söylüyor. Bu, gelecekte yazılım kullanıcılarının üstlendikleri riskleri daha iyi anlamalarını mümkün kılacaktır.
Whitehouse, uzun vadeli hedefin güvenlik pazarının dinamiklerini değiştirmek olduğunu öne sürdü. Bu, yazılımın maliyeti konusunda şeffaf olmak, verimliliğini ölçmek ve teknik borcu (hataları ve hataları düzeltmede başarısız olmanın gelecekteki maliyeti) ölçmek ve bunu bilançoya kaydetmek anlamına gelir.
Ardından, yazılım şirketlerinin güvenli olmayan yazılım satması durumunda ihmal nedeniyle para cezası verilmesi gerektiğini söyledi. Bu, mevcut sistemde, yazılım şirketlerinin, yazılımlarındaki güvenlik açıklarından yararlanan siber saldırganların neden olduğu zararın sorumluluğunu üstlenmemelerine olanak tanıyan radikal bir değişiklik anlamına gelecektir.
Bu tür fikirler halihazırda ABD’de öneriliyor. Biden yönetiminin Mart 2024’te yayınlanan Ulusal Siber Güvenlik Stratejisi, yazılım tedarikçilerinin ve yayıncılarının önemli güvenlik açıklarına sahip ürünler piyasaya sürmeleri durumunda sorumlu tutulacağı bir gelecek öngörüyor.
Strateji belgesinde, “Çok sayıda satıcı, güvenli geliştirme için en iyi uygulamaları göz ardı ediyor, ürünleri güvenli olmayan varsayılan yapılandırmalara veya bilinen güvenlik açıklarına sahip olarak gönderiyor ve kaynağı araştırılmamış veya bilinmeyen üçüncü taraf yazılımları entegre ediyor.”
“Yazılım üreticileri, sözleşmeye bağlı sorumluluğu tamamen reddetmek için pazar konumlarından yararlanabiliyor, bu da tasarım gereği güvenli ilkeleri takip etme veya sürüm öncesi testleri gerçekleştirme teşviklerini daha da azaltabiliyor” diyor.
ABD stratejisi, yazılımlarının güvenliğini sağlamak için makul önlemleri almayan kuruluşların sorumluluğunun değiştirilmesini talep ederken, aynı zamanda en gelişmiş yazılım güvenlik programlarının bile güvenlik açıklarını önleyemeyeceğini kabul ediyor.
Plana göre ABD Kongresi, yazılım ürünleri ve hizmetlerine ilişkin sorumluluk yaratacak mevzuatı geliştirmek için özel sektörle birlikte çalışacak. Yazılım tedarikçilerinin, kendilerini kötü yazılım tasarımının sorumluluğundan muaf tutan sözleşmeleri uygulamak için pazar güçlerini kullanmalarını önlemeyi amaçlayacaktır. Bu aynı zamanda yazılım şirketlerinin, yazılımın yüksek riskli uygulamalarda kullanıldığı durumlarda daha fazla özen göstermesi gerektiği anlamına da gelecektir.
Güvenlik danışmanları, Birleşik Krallık hükümetinin BT tedarikçilerini, kendilerini güvenlik başarısızlıklarından sorumlu tutacak sözleşmeleri kabul etmeye ikna edecek mali güce sahip olmadığı konusunda hemfikir.
Akademik araştırmalar, işletmelerin ve bireylerin daha güvenli yazılımlar için daha fazla ödemeye hazır olduklarını ancak ödeyebilecekleri miktarın da bir sınırı olduğunu gösteriyor.
Bütün bunlar, eğer pazar Whitehouse’un önerdiği şekilde düzeltilecekse, Birleşik Krallık’ın, ürünlerinin güvenliğine yeterince dikkat etmemeleri halinde BT tedarikçilerini mali açıdan sorumlu tutacak mevzuatı uygulamaya koyan ABD rotasını takip etmek zorunda kalacağı anlamına geliyor.
Hızlı olmayacak. Böyle bir değişim muhtemelen en az on yıl uzakta ve muhtemelen yazılım tedarikçilerinin ciddi muhalefetiyle karşı karşıya kalacak, ancak seyahatin yönü belirlenmiş gibi görünüyor.