Five Eyes ülkelerindeki ve diğer ülkelerdeki siber güvenlik ajansları, ürün güvenliğini ve şeffaflığı iyileştirmeleri için yazılım satıcılarına baskı yapıyor.
Geçen hafta sonlarında ortak bir kılavuz açıklayan dört Kuzey Amerika ajansı, yazılımın “tasarım gereği güvenli” ve “varsayılan olarak güvenli” hale getirilmesi çağrısında bulunmak üzere Avustralya, Kanada, Birleşik Krallık, Yeni Zelanda, Hollanda ve Almanya’daki kuruluşlarla bir araya geldi.
Teknoloji sektörünün onlarca yıldır uyguladığı yükü tersine çevirerek, kullanıcının ürünleri güvenli tutmadaki rolünü vurgulayan ortak duyuruda, yazılım satıcılarının “teknoloji ürünlerinin güvenlik sonuçlarının sahipliğini üstlenmeleri ve güvenlik yükünü diğerlerinin üzerinden almaları” gerektiği belirtildi. müşteriler”.
Duyuruda, “Ürünlerin işletmeleri kötü niyetli siber aktörlerden korumak için gereken en önemli güvenlik kontrollerini otomatik olarak etkinleştirdiği güvenli bir yapılandırma varsayılan temel olmalıdır.”
NSA’nın siber güvenlik direktörü Rob Joyce, güvenli olmayan teknoloji ürünlerini bireysel kullanıcılar için olduğu kadar ulusal güvenlik için de risk olarak nitelendirdi.
“Üreticiler tasarım ve geliştirme sırasında sürekli olarak güvenliğe öncelik verirse, gördüğümüz kötü niyetli siber saldırıların sayısını azaltabiliriz” diye ekledi.
“Bu raporda ortak olan uluslararası koalisyon, bu konunun öneminden bahsediyor.”
Ortaklar ayrıca “radikal şeffaflık ve hesap verebilirlik” çağrısında bulunuyor: Satıcılar yalnızca güvenlik açığı ifşa programlarında yer almamalı, “tavsiyeler ve ilgili ortak güvenlik açığı ve maruz kalma (CVE) kayıtları” “eksiksiz ve doğru” olmalıdır.
Rehber dokümanda açıklandığı gibi [pdf]amaç “düzeltmeler oluşturma ve uygulama kısır döngüsünü kırmaktır”.
Tasarım gereği güvenlik, belgede “cihazlara, verilere ve bağlı altyapıya başarılı bir şekilde erişim sağlayan kötü niyetli siber aktörlere karşı makul ölçüde koruma sağlayacak şekilde oluşturulmuş” bir ürün olarak tanımlanmaktadır.
“Varsayılan Olarak Güvenli”, ürünlerin yaygın kullanım tekniklerine karşı dayanıklı olduğu anlamına gelir
Kılavuz belgede, tüketicileri “güvenli temerrütlerden sapmaları” halinde uyarmak da dahil olmak üzere, ek ücret talep edilmeden kutudan çıkarıldığı belirtildi.