Editörün notu: Bu hikaye gelişmektedir ve güncellenecektir.
Önemli federal kurumlar ve uluslararası ortakların katıldığı Siber Güvenlik ve Altyapı Güvenliği Ajansı, merakla beklenen bir dizi ilke ve prosedür yayımladı ürün güvenliği sorumluluğunu küresel teknoloji endüstrisinin omuzlarına yüklemek için yaratılmıştır.
Biden yönetimi, dünyanın en büyük yazılım üreticilerini, bu ürünlerin tasarım ve üretim aşamasında temel bir bileşen olarak yerleşik güvenliğe sahip olmasını sağlamaları konusunda uyarıyor.
“Yazılım üreticilerinin, ürünleri için güvenliği tasarımın ilk aşamalarına entegre etmelerini sağlamak, güvenli ve esnek bir teknoloji ekosistemi oluşturmak için kritik öneme sahiptir.” CISA Direktörü Jen Easterly e-postayla gönderilen bir açıklamada söyledi. “Bu tasarım gereği güvenli ve varsayılan olarak güvenli ilkeleri, tüm teknoloji kullanıcılarını daha iyi korumak için dünya genelinde sektör çapındaki değişimi hızlandırmaya yardımcı olmayı amaçlıyor.”
CISA’ya FBI, Ulusal Güvenlik Ajansı ve Birleşik Krallık, Kanada, Almanya, Hollanda, Avustralya ve Yeni Zelanda’dan ulusal siber güvenlik yetkilileri katıldı.
Yönergeler, Biden yönetiminin temel ilkeleridir. ulusal siber güvenlik stratejisiABD’yi ve büyüyen küresel ortaklar ittifakını haydut ulus devletler ve suç aktörleri tarafından artan kötü niyetli siber faaliyet dalgasından korumak için tasarlanmış çok katmanlı bir politika planıdır.
Amaç, sorumluluğu tüketicilerden, küçük işletmelerden ve yetersiz hizmet alan kritik altyapı sağlayıcılarından uzaklaştırmaktır. Bunun yerine, yük, temel işlevleri yerine getirmek için bu teknolojilere büyük ölçüde bağımlı olan müşterilerin sırtından milyarlarca dolar kar elde eden küresel yazılım ve hizmet sağlayıcılarına düşmelidir.
Yetkililer, bu şirketlerin yalnızca güvenli uygulamaları ürün tasarımı ve üretimine dahil etmelerini değil, aynı zamanda müşterilerin olası saldırı veya veri ihlalleri riskine girebilecek kusurlar keşfedildiğinde tam ve şeffaf açıklamalar yapmalarını istiyor.
“Kuruluşların ürünlerini oluşturma yöntemleri, kaliteyi nasıl ölçtükleri ve belirli güvenlik özelliklerinin alımını nasıl ölçtükleri hakkında daha fazla düşünmelerini istiyoruz” dedi. Bob Lord, CISA’da kıdemli teknik danışmanyönergelerin hazırlanmasında önde gelen katılımcılardan biri olan.
Yetkililer şimdiden önerilen değişiklikler konusunda kilit paydaşları dahil etmeye başladılar ve sektörün önde gelen isimleri önerileri benimsemiş olsa da, bu önerilerin sektör kültüründe ve onlarca yıllık iş uygulamalarında büyük değişiklikler gerektireceği konusunda geniş bir anlayış var.
Yetkililer, düzenleyici değişiklikler yoluyla güçlü bir uygulama mekanizması oluşturmak için Kongre’nin büyük olasılıkla adım atması gerekeceğini söyledi. Bununla birlikte, ilk aşamalarda, en üst düzeydeki teknoloji yöneticilerinin, kültürel değişiklikleri yukarıdan aşağıya kendi şirketlerine yönlendirmesi gerekecek.
Yetkililer, yazılım üreticilerinin, sistemleri tehlikeye atarak ve verilere erişim sağlayarak olası tehditleri önlemeye yardımcı olmak için, ürün geliştirme aşamasının bir parçası olarak özel tehdit modelleri kullanmasını istiyor.
Önerilen değişiklikler büyük olasılıkla yeni yatırımlara ihtiyaç duyacak ve bu kuruluşların bu yeni güvenlik hedeflerine ulaşmada ne kadar başarılı olduklarını ölçmenin şeffaf bir yolunu oluşturacaktır.
Biden yönetimi yetkilileri, yazılım endüstrisinin ürünlerinde yüksek düzeyde güvenlik sağlamasına yardımcı olmak için federal satın alma gücünü kullanma olasılığını şimdiden gündeme getirdi.