Siber Güvenlik ve Altyapı Güvenliği Ajansı, Perşembe günü Biden yönetiminin tasarım gereği güvenlik ilkelerine genel bir bakış sunarak teknoloji endüstrisine yazılım üreticilerini ve diğer üreticileri ürün güvenliğinden sorumlu tutmak için bir yol haritası sağlamayı planlıyor.
CISA Direktörü Jen Easterly Salı günü CrowdStrike Hükümet Zirvesi’nde CrowdStrike CEO’su George Kurtz ile ocak başı sohbeti sırasında planla dalga geçti.
Plan, federal yetkililerin teknoloji endüstrisini yerleşik güvenlik protokollerine sahip ürünler yapmaya zorlamak için büyük bir değişikliği temsil ediyor. CISA, planı formüle etmek için federal kurumlar ve uluslararası ortaklarla birlikte çalışıyor.
Easterly, Kurtz’a “Yıllarca, pazara sürme hızına, harika özelliklere, maliyetleri düşürmeye odaklanan, ancak emniyet ve güvenliğe odaklanan yazılımları kabul ettik” dedi. “Artık hayatlarımıza güç sağlayan yazılımın hem tasarım gereği hem de varsayılan olarak güvenli olmasını sağlamaya odaklanmamız inanılmaz derecede önemli.”
Easterly, siber güvenlik ihlalleri için hedeflenen kuruluşları suçlamak yerine, ihlallerin altında yatan nedenlere daha fazla odaklanılması gerektiğini söyledi. Örneğin, yazılım kullanıcıları güvenliği sağlamak için sürekli olarak yamaları uygulamak zorunda bırakılmamalı, kusurlu güvenlik en baştan ele alınmalıdır.
Easterly ve ulusal siber direktör vekili Kemba Walden, son görünümlerinde yazılım güvenliğini sağlama yükünün değişmesi gerekiyor. Güvenlik bakımı, tüketicilerden ve küçük işletmelerden yazılım güvenliğine yatırım yapacak fon, uzmanlık ve personele sahip kuruluşlara taşınmalıdır.
Easterly ayrıca Rust, Java, Python veya C# gibi bellek için güvenli koda geçiş yapmanın bir yolu olması gerektiğini söyledi. Easterly, bu yılın başlarında düzenlenen tarihi bir konuşmada buna değindi. Carnegie Mellon Üniversitesi.
Kurtz, güvenli tasarım baskısının ele alınması gereken ekonomik bir yönü olduğunu söyledi.
Kurtz, herhangi bir yazılım kodlayıcısının veya yazılım şirketinin berbat bir yazılım oluşturmak isteyeceğini düşünmüyor, ancak ürün yaşam döngüsünün ve bir ürünün belirli bir süre boyunca güvenli kalabileceğinden nasıl emin olunacağının bir değerlendirmesi yapılması gerekiyor.
Google, hangi destek çıktı endüstrinin yazılım güvenliğine daha fazla sahip çıkması. Yeni duruş büyük olasılıkla kongre eylemi ve diğer değişiklikleri gerektireceğinden, Google ve diğer paydaşlar yönetimi nasıl ilerleyeceğine dair devam eden görüşmelere dahil ettiler.
Bir Google sözcüsü geçen hafta e-posta yoluyla “Yönetimin tasarım yoluyla güvenlik vurgusunu destekliyoruz ve bu konsepti daha da geliştirmek için hükümetle devam eden işbirliğini dört gözle bekliyoruz” dedi.