Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), “Talep Üzerine Güvenlik Rehberi: Yazılım Müşterileri Güvenli Bir Teknoloji Ekosistemini Nasıl Geliştirebilir”i yayınladı.
Bu kapsamlı CISA Talep Üzerine Güvenli kılavuzu, yazılım satın alan kuruluşlara, yazılım üreticilerinin siber güvenlik uygulamalarını değerlendirmek için gerekli araçları ve bilgiyi sağlayarak, “tasarıma göre güvenli” ilkelerinin tedarik süreçlerinin ayrılmaz bir parçası olmasını sağlamayı amaçlamaktadır.
CISA Talep Üzerine Güvenli Kılavuzu: Tedarik Uygulamalarındaki Kritik Bir Boşluğun Giderilmesi
Birçok organizasyonda, satın alma personeli teknoloji satın alımları için temel siber güvenlik gereklilikleri hakkında genel bir anlayışa sahiptir. Ancak, yazılım tedarikçilerinin ürün geliştirmenin en erken aşamalarından itibaren güvenlik hususlarını yerleştirip yerleştirmediklerini değerlendirmenin kritik ihtiyacını sıklıkla göz ardı ederler. Bu gözetim, istismara karşı savunmasız olabilecek yazılım ürünlerinin satın alınmasına yol açabilir.
“Talep Üzerine Güvenlik Rehberi”, ürün güvenliğinin tedarik yaşam döngüsünün çeşitli aşamalarına nasıl entegre edileceğine dair pratik rehberlik sunarak bu boşluğu doldurmayı amaçlamaktadır.
CISA kılavuzu, kuruluşların risk bilincine sahip kararlar almalarına ve tedarikçilerinin ürün geliştirme süreci boyunca siber güvenliğe öncelik vermelerini sağlamalarına yardımcı olmak için tasarlanmıştır.
Kuruluşları Temel Sorular ve Kaynaklarla Güçlendirmek
Kılavuz, kuruluşların yazılım satıcılarını değerlendirirken kullanabilecekleri bir dizi stratejik soru sunar. Bu sorular, bir satıcının siber güvenliğe olan bağlılığının derinliğini ortaya çıkarmayı amaçlar ve güvenlik uygulamaları, politikaları ve güvenliğin ürün geliştirme yaşam döngüsüne entegrasyonu hakkında sorgulamalar içerir.
Rehberdeki temel önerilerden bazıları şunlardır:
- Üreticinin Yazılım Malzeme Listesinin (SBOM) Elde Edilmesi: Bu belgede, üründe kullanılan üçüncü taraf yazılım bileşenleri listelenerek kuruluşların olası güvenlik açıklarını ve bağımlılıkları anlamalarına yardımcı olunmaktadır.
- Güvenlik Yol Haritalarının Gözden Geçirilmesi: Kuruluşlar, ürünlerindeki güvenlik açığı sınıflarını ortadan kaldırma planlarını özetleyen tedarikçilerden yol haritaları talep etmelidir.
- Güvenlik Açığı Açıklama Politikaları: Tedarikçilerin güvenlik açıklarını ifşa etmeye yönelik kamuya açık politikalarının olup olmadığının kontrol edilmesi şeffaflık ve hesap verebilirliği sağlar.
Tasarıma Göre Güvenli İlkelerle Uyum Sağlama
Bu CISA kılavuzu, yakın zamanda yayınlanan “Kamu İşletmeleri Tüketicileri için Yazılım Edinme Kılavuzu: Siber Tedarik Zinciri Risk Yönetimi (C-SCRM) Yaşam Döngüsünde Yazılım Güvencesi”ni tamamlar. Bu kılavuzlar birlikte, yazılım tedarik süreçlerine güvenlik hususlarını dahil etmek için kapsamlı bir çerçeve sağlar.
Yeni kılavuz ayrıca CISA’nın teknoloji üreticileri için “Tasarımla Güvenli” kılavuzunun bir karşılığı olarak hizmet eder. Bu önceki kılavuz, üreticilerin uyması gereken üç temel ilkeyi vurgular:
- Müşteri Güvenlik Sonuçlarının Sahipliğini Üstlenin: Üreticiler, ürünlerindeki potansiyel tehditleri ve güvenlik açıklarını proaktif bir şekilde ele alarak müşterilerinin güvenliğini ön planda tutmalıdır.
- Radikal Şeffaflığı ve Hesap Verebilirliği Benimseyin: Müşterilerle güven oluşturmak için güvenlik uygulamaları ve güvenlik açıkları hakkında net iletişim ve açıklık esastır.
- Organizasyon Yapısı ve Liderlik Oluşturun: Bu hedeflere ulaşmak için güvenlik girişimlerini destekleyecek sağlam liderlik ve örgütsel çerçevelerin oluşturulması hayati önem taşımaktadır.
Odak Noktasının Kurumsal Güvenlikten Ürün Güvenliğine Kaydırılması
Kılavuz, kurumsal güvenlik ile ürün güvenliği arasındaki ayrımın önemini vurgular. Kurumsal güvenlik, bir şirketin kendi altyapısını ve operasyonlarını korumaya odaklanırken, ürün güvenliği, bir yazılım üreticisinin ürünlerinin olası saldırılara karşı güvenli olduğundan emin olmak için aldığı önlemlerle ilgilidir.
Tedarik süreçleri sırasında kullanılan birçok uyumluluk standardı, ürün güvenliğinin kritik yönünü sıklıkla ihmal ederek kurumsal güvenliğe odaklanır. Bu kılavuz, yazılım üreticilerinin ürün güvenliği olgunluğunu değerlendirmek ve tasarıma göre güvenli ilkelerine uymalarını sağlamak için kaynaklar ve stratejiler sağlayarak bu boşluğu giderir.
Ürün Güvenliğini Tedarik Yaşam Döngüsü Boyunca Entegre Etme
Ürün güvenliğini tedarik sürecine etkili bir şekilde entegre etmek için kuruluşların şunları yapması teşvik edilmektedir:
- Tedarik Öncesi: Her aday yazılım üreticisinin ürün güvenliğine yaklaşımını anlamak için sorular sorun. Bu ön tedarik değerlendirmesi, güvenli ürün geliştirmeye kendini adamış satıcıları belirlemeye yardımcı olur.
- Tedarik Sırasında: Ürün güvenliği gerekliliklerini sözleşme diline dahil ederek, tedarikçilerin yüksek güvenlik standartlarını sürdürme konusunda sözleşmesel olarak yükümlü olmasını sağlayın.
- Tedarik Sonrası: Yazılım üreticilerinin ürün güvenliğini ve güvenlik sonuçlarını sürekli olarak değerlendirin. Sürekli değerlendirme, tedarikçilerin ürün yaşam döngüsü boyunca güvenli uygulamalara bağlı kalmasını sağlar.
İşletmeler İçin Harekete Geçme Çağrısı
CISA Direktörü Jen Easterly, işletmelerin güvenli tasarım ilkelerini benimsemelerini sağlamak için satın alma güçlerini kullanmalarının önemini vurguladı.
Easterly, “Önde gelen teknoloji satıcılarının ürünlerinin daha güvenli olması gerektiğini fark edip Secure by Design taahhüdüne gönüllü olarak katılmalarından mutluluk duyuyoruz. İşletmeler ayrıca yazılım satın alırken daha iyi risk bilgili kararlar alarak ibreyi hareket ettirmeye yardımcı olabilir,” dedi. “Bu yeni kılavuz, yazılım müşterilerinin satın alma güçlerini kullanarak güvenli ürünler satın alabileceklerini ve Secure by Design’ı Secure by Demand’a nasıl dönüştürebileceklerini anlamalarına yardımcı olacak.”
Sonuç olarak, “Talep Üzerine Güvenli Kılavuz” yazılım tedarik uygulamalarını geliştirmek isteyen kuruluşlar için değerli bir kaynak sağlar. İşletmeler, kılavuzun önerilerini dahil ederek güvenli, dayanıklı ve gelişen siber tehditlere dayanıklı yazılım ürünleri tedarik ettiklerinden emin olabilirler.