Yönetim ve Risk Yönetimi
Yeni Güvenlik Şeffaflığı Rehberi Tedarikçi Koruma Taleplerini Tetikliyor
Chris Riotta (@chrisriotta) •
6 Ağustos 2024
Özel sektörün yazılım üreticilerinin siber güvenlik önlemlerini değerlendirmesine yardımcı olmak için tasarlanan yeni bir kılavuz, Beyaz Saray’ın daha fazla şeffaflık talebini yerine getiren geliştiriciler için korumaların güçlendirilmesi çağrılarını yeniliyor.
Ayrıca bakınız: 2024 Finansal Hizmetlerde Kimlik Güvenliği Durumu
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve FBI, Salı günü özel sektör kuruluşlarını “tedarikçilerine zor sorular sormaya” ve gerekli özen değerlendirmeleri, kurumsal risk kabul kararları ve tedarikçi güvenlik süreçlerinde şeffaflık kazanmaya çağıran ortak bir rehber yayınladı. Federal ajanslar, yazılım üreticilerinin uygulama güçlendirme gibi ürün güvenliği çabalarına yatırım yapması ve son kullanıcıların güvenlik duruşunu güçlendiren ek güvenlik yeteneklerini desteklemesi gerektiğini söyledi.
“CISA’nın yeni talep üzerine güvenlik kılavuzunda beğenilecek çok şey var,” diyor uygulama güvenliği yazılım platformu Contrast Security’nin kurucu ortağı ve baş teknoloji sorumlusu Jeff Williams. Ancak Williams’a göre yönetimin güvenlik sorumluluklarını son kullanıcılardan geliştiricilere kaydırma girişimlerini engelleyen bir sorun var: Kuruluşlar şu anda daha şeffaf güvenlik uygulamalarını benimsemek için gereken teşviklerden ve korumalardan yoksun.
Williams, Information Security Media Group’a “Yazılım üreticilerine radikal bir şekilde şeffaf olmaları gerektiği söyleniyor, aynı zamanda pazarda herhangi bir güvenlik zafiyeti için eleştiriliyorlar,” dedi. “CISA, tasarıma göre güvenli ile ikiyüzlülük mü yapıyor? [and] “Bir tarafta talep, diğer tarafta sorumluluk tehditleri mi?”
CISA ve FBI, müşteriler için güvenliği iyileştirmek üzere hemen uygulanabilecek bir dizi varsayılan olarak güvenli uygulama detaylandırdı. Kılavuz, siber saldırıları kolaylaştırmaya devam eden varsayılan parolaların ortadan kaldırılmasını talep ediyor ve geliştiricilere, ürünlerinin sahadaki güvenlik duruşunu daha iyi anlamak için güvenlik odaklı kullanıcı testleri yürütme görevi veriyor.
Yazılım tedarikçileri ayrıca, son kullanıcıların güvenli olmayan dijital ortamlarda çalıştığı bilindiğinde zamanında ve tekrarlanan “dikkat çekici uyarılar” uygulamaya ve bir şirketin bireysel risk iştahına göre belirli yapılandırmaları güvenli ayarlara önceden ayarlamaya yardımcı olan güvenli yapılandırma şablonları oluşturmaya teşvik edilir. En son kılavuz, yazılım tedarik eden federal kurumlar için yazılım edinme süreçlerini kolaylaştırmayı amaçlayan Ağustos başında yayınlanan CISA’nın ek kılavuzuna eşlik ediyor (bkz: Yeni CISA Rehberi Federal Yazılım Tedarik Güvenliğini Artırıyor).
CISA Direktörü Jen Easterly, yaptığı açıklamada, işletmelerin “yazılım satın alırken riske duyarlı kararlar alarak ilerleme kaydetmelerine yardımcı olabileceğini” söyledi ve yeni kılavuzun “yazılım müşterilerinin satın alma güçlerini kullanarak güvenli ürünler satın almanın ve tasarıma göre güvenli olanı talebe göre güvenli hale getirmenin yollarını anlamalarına yardımcı olacağını” sözlerine ekledi.
Yönetim, son yıllarda geliştiricilerden önerilen en iyi uygulamaları taahhüt etmeleri için gönüllü taahhütler alınması da dahil olmak üzere bir dizi CISA girişimi yoluyla güvenlik sorumluluklarını yazılım üreticilerine geri kaydırmak için çaba sarf etti (bkz: ABD Siber Güvenlik Stratejisi Sorumluluk Sorunlarını Tedarikçilere Kaydırıyor).
Ancak Williams’a göre özel sektöre daha fazla koruma veya fayda sağlamayan gönüllü taahhütler ancak belli bir noktaya kadar işe yarayabilir.
Williams, ISMG’ye yaptığı açıklamada, “Bu ‘talep’ kavramını ciddiye almak istiyorlarsa, ayrıntıları iletmek için makine tarafından okunabilen bir yol sunmaları gerekiyor” dedi ve CISA’nın “bu cesur adımı atan kuruluşlar için güvenli bir liman sağlaması” çağrısında bulundu.