Coğrafi Odak: Birleşik Krallık, Coğrafi Özel, Yönetişim ve Risk Yönetimi
Gönüllü Kurallar, Yazılım Satıcıları ve Kullanıcılar için Temel Güvenlik Gereksinimlerini Belirleyecek
Akşaya Asokan (asokan_akshaya) •
24 Ocak 2024
Birleşik Krallık hükümeti, yazılım satıcılarını sistemlerindeki güvenlik açıklarını sorumlu bir şekilde açıklamaya teşvik eden bir dizi gönüllü kuralın uygulamaya konulması üzerinde çalışıyor. Söz konusu tedbir, hükümetin eski altyapının kötü yönetimi konusunda eleştirilerle karşılaşmaya devam ettiği bir dönemde geldi.
Ayrıca bakınız: SASE’yi NDR ile entegre etme: SASE Olgunluğu, Bulut Stratejisi ve Ağ Görünürlüğü
İngiliz hükümeti, Şubat 2023’te yazılım satıcılarından, devlet kurumlarından ve diğer paydaşlardan, ülkenin altyapısını hedef alan yüksek etkili olayların önlenmesine yardımcı olmak için yazılım tedarik zincirinin desteklenmesi konusunda yorumlarını almaya başladı.
Bu çaba, Royal Mail, Ulusal Sağlık Hizmeti ve MoveIT dosya aktarım uygulamasının başarılı bir şekilde hacklendiği ve British Airways ve British Broadcasting Corp.’un da aralarında bulunduğu dünya çapında yüzlerce kuruluşu etkilediği bir dönemde gerçekleşti.
Yorum çağrısına yaklaşık 200 paydaş katıldı ve Salı günü yayınlanan bir raporda katılımcılar, yazılım satıcılarını sistemlerini etkileyen güvenlik açıklarının ayrıntılarını sorumlu bir şekilde açıklamaya teşvik etmek için acil hükümet müdahalesinin gerekli olduğunu söyledi.
Rapora göre, “Cezalandırılma, itibar kaybı ve müşteri kaybı korkusu, işletmeleri yazılım açıklarını bildirmekten caydırabilir ve katılımcıların %80’i, kuruluşların enfeksiyonun yayılmasını durdurmak için bilgileri hızlı bir şekilde açıklamasını sağlamak için daha fazla şey yapılması gerektiğini kabul etti.”
Ankete katılanların yaklaşık %23’ü açık kaynak yazılım bileşenlerinden kaynaklanan güvenlik açıklarının ve kötü amaçlı yazılımların yazılım ekosistemleri için önemli bir sistemik risk olmaya devam ettiğini belirtirken, %54’ü açık kaynak ortamından kaynaklanan kusurların Birleşik Krallık ekonomisine ciddi şekilde zarar verebileceğini söyledi.
Denetlenmeyen üçüncü taraf açık kaynak kitaplıklarının kullanımı da güvenlik açısından büyük engeller oluşturur ve yazılımla ilgili sorunların üstesinden gelmek, birçok kuruluşun geliştirme döngüsü sırasında yeterli finansmanı sağlayamaması nedeniyle zorlayıcı olabilir.
Katılımcılar, endüstri yazılımı güvenli çerçeveleri ve standartlarının yanı sıra Birleşik Krallık Ulusal Siber Güvenlik Merkezi gibi ulusal ve uluslararası kuruluşlar tarafından yayınlanan kılavuzlara güvendiklerini ancak güvenlik açıklarının güvenli bir şekilde ifşa edilmesine yönelik hükümet müdahalelerinin olay yönetimine daha fazla şeffaflık getireceğini söylediler. böylece kuruluşların güvenlik sorunlarını daha etkili bir şekilde çözmelerine olanak tanır.
Katılımcılar ayrıca hükümetin bir yazılım malzeme listesi hakkında kılavuz yayınlaması, yazılım satıcıları ve geliştiricileri için sertifikalar sunması ve yazılım geliştiricileri ve satıcılarının minimum şeffaflık standartlarını karşılamasını gerektiren düzenlemeler geliştirmesi gerektiğini söyledi.
Çağrıya yanıt olarak Birleşik Krallık, satıcılara yönelik mevcut ulusal ve uluslararası standartlar üzerine inşa edilecek gönüllü uygulamalar dizisini yayınlayacağını duyurdu. İstişareye öncülük eden Birleşik Krallık Bilim, Yenilik ve Teknoloji Bakanlığı’na göre teklif, “yazılım güvenliğine ilişkin temel beklentileri” belirleyecek ve ülkenin siber dayanıklılığını artırmayı amaçlayacak.
Birleşik Krallık Yapay Zeka ve Fikri Mülkiyet Bakanı Viscount Camrose, “Yapay zeka gibi yeni ve gelişmekte olan teknolojilerin ortaya çıkardığı zorluklara hızla tepki verebilmemiz için yazılım güvenliğinin temellerinin yerinde olduğundan emin olmalıyız” dedi.
Hükümetin siber dayanıklılık yeteneklerini artırma çabaları, kamu dairelerindeki eski altyapının kötü yönetilmesi konusunda yasa koyucuların artan baskısıyla karşı karşıya kalmaya devam ettiği bir dönemde ortaya çıkıyor.
Geçtiğimiz yıl yapılan parlamento incelemesi, Britanya İçişleri Bakanlığı, Hazine, Savunma ve Adalet Bakanlığı’nın güncelliğini yitirmiş, bilgisayar korsanlarına karşı savunmasız veya yazılım tedarikçisinden destek güncellemesi almayan birden fazla “kırmızı dereceli” sisteme sahip olmaya devam ettiğini ortaya çıkardı.
Kamu Hesapları Komitesi milletvekilleri, Ordu ve Kraliyet Donanması tarafından kullanılan envanter yönetim sistemlerinin yaklaşık 40 yıllık olduğunu tespit etti.
Birleşik Krallık hükümetinin yazılım güvenlik açığı yönetimi kurallarını ne zaman yayınlayacağı belli değil ancak kurum, yazılım satıcılarının, kullanıcıların ve NCSC dahil devlet kurumlarının uygulama güvenliği için yeterli siber güvenlik korkulukları ve satın alma süreçleri geliştireceğini söyledi.