Coğrafi Odak: Birleşik Krallık, Coğrafi Spesifik, Standartlar, Düzenlemeler ve Uyumluluk
Gönüllü Kod Düzenlemeye Giden İlk Adım Olabilir
Akşaya Asokan (asokan_akshaya) •
16 Ağustos 2024
İngiltere hükümetinin yazılım dayanıklılığını teşvik etmek için yayınladığı taslak öneriler, İngiliz yazılım yöneticilerinden, ayrıntı eksikliği ve mevcut en iyi uygulamalarla örtüşme eleştirisi nedeniyle karışık eleştiriler aldı.
Ayrıca bakınız: Ödeme Hizmetleri Direktifi (PSD2) Dijital Bankacılığı Nasıl Değiştiriyor – Hazır mısınız?
İngiltere Bilim, Yenilik ve Teknoloji Bakanlığı, bu ayın başlarında yazılım satıcıları için nihai yayından önce yorum isteyen bir taslak gönüllü uygulama tüzüğü yayınladı.
Önlemler 21 adımlı bir çerçeveden oluşuyor. Adımlar arasında kuruluşların ürünlerini piyasaya sürmeden önce test etmelerini zorunlu kılmak ve geliştiriciler için çok faktörlü kimlik doğrulamayı zorunlu kılmak ve güvenlik açıklarının zamanında bildirilmesi ve yamalanması yer alıyor.
DSIT, “Kod, yazılım satıcısı kuruluşlarındaki kıdemli liderlere yöneliktir ve kuruluşlarının bu güvenlik ve dayanıklılık önlemini yeterli bir şekilde uygulamaya koyması için gerekenlerin tam kapsamını anlamalarını sağlar,” dedi. Önlemler “kuralcı olmaktan ziyade esnek ve uyarlanabilirdir.”
Information Security Media Group’un görüştüğü siber güvenlik uzmanlarının çoğu, önerilen önlemlerin çoğunun belirsiz olduğunu ve stratejilerin etkili bir şekilde nasıl uygulanacağına ilişkin tartışmanın atlandığını söyledi.
“Örneğin, kılavuzda güvenlik açıklarının ‘ilgili taraflara’ bildirilmesi gerektiği söyleniyor, ancak ilgili tarafların kim olduğu açıklanmıyor. Ya da kuruluşların yeterli bilgi sağlamadan yazılımları güvenli bir şekilde dağıtmaları gerektiği söyleniyor,” diyor Glasgow siber güvenlik firması Acumen Cyber’ın baş operasyon görevlisi Kevin Robertson.
Robertson, bunun yerine ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün özel siber güvenlik kontrollerini içeren çerçevelerine benzer, pratik, adım adım bir çözüme ihtiyaç duyulduğunu söyledi.
İsrailli yazılım tedarik zinciri çözümleri firması OX Security’nin kurucusu Neatsun Ziv, zamanında güvenlik güncellemeleri ve yamaları gibi önerilen önlemlerin onlarca yıl öncesine dayanan standart sektör uygulamaları olduğunu ve önerilerin sıkı bir şekilde uygulanmasının gerekli olduğunu söyledi.
“Tavsiyeler herkes için iyi ve aslında piyasadaki mevcut standartların çoğuna atıfta bulunuyor. Ancak bununla ilişkili bir ceza olduğunu söylemediğiniz sürece, bunu şu anda yapmayan şirketler – onları bunu yapmaya ikna etmeyecektir. Zaten ‘tasarıma göre güvenli’ uygulamalarını takip eden şirketler bu belgeden herhangi bir ek fayda elde etmeyecektir,” dedi Ziv.
İncelemelerin hepsi kötü değil. Hükümet, SolarWinds ve MoveIt olaylarında görülen savunmasız üçüncü taraf yazılımlarından kaynaklanan yıkıcı siber saldırıların olasılığını azaltmaya çalışıyor, diyor İngiltere merkezli NCC Group’un hükümet işleri grup başkanı Katharina Sommer.
Nisan ayında yürürlüğe giren Ürün Güvenliği ve Telekomünikasyon Altyapısı Yasası gibi mevcut İngiltere düzenlemelerinin, daha geniş yazılım ekosistemine bağlı tedarik zincirindeki içsel riski ortadan kaldırmada başarısız olduğunu söyledi.
“Yazılım tedarik zinciri kodu, şu anda düzenleyici gerekliliklerin olmadığı temel yazılıma bakmak için donanımın çok ötesine geçiyor,” dedi Sommer. “Bu yüzden hükümetin aslında bunun teknoloji tedarik zincirinin o belirli bölümünün dayanıklılığını artırmaya çalışmak için daha fazla eylem gerektiren bir şey olduğu görüşüne vardığını düşünüyorum.”
İngiltere’nin girişimi, yazılım güvenliği sorumluluğunu “tasarıma göre güvenli” politikalarıyla daha çok bir satıcı endişesine kaydırmaya çalışan Avrupa Birliği ve diğer hükümetlerin benzer politika çabalarını yansıtıyor.
Bunlar arasında, ticaret bloğunda faaliyet gösteren tüm bağlı yazılım satıcılarının saldırıları zamanında bildirmesini ve yama güncellemeleri yayınlamasını zorunlu kılan yakın zamanda kabul edilen Avrupa Birliği Siber Dayanıklılık Yasası da yer alıyor. Ekim ayında yürürlüğe girmesi planlanan güncellenmiş Ağ ve Bilgi Güvenliği Direktifi, tüm yazılım satıcıları için temel siber güvenlik beklentilerini belirliyor.
İngiltere’nin şu anda NIS2 Direktifine benzer bir politika çerçevesinden yoksun olduğunu belirten Sommer, hükümetin nihai gönüllü kodları bir düzenleme olarak benimsemesinin veya bazı hükümlerini yürürlüğe koymasının muhtemel olduğunu söyledi.
“Sanırım bu model hükümetin üzerinde durduğu ve endüstrinin gelecekte nasıl sonuçlanabileceği açısından bakması gereken bir model” dedi.