ABD Ulusal Karayolu Trafik Güvenliği İdaresi (NHTSA) kendisini şu misyonuna adamıştır: “eğitim, araştırma, güvenlik standartları ve uygulama yoluyla hayat kurtarmak, yaralanmaları önlemek ve karayolu trafik kazalarından kaynaklanan ekonomik maliyetleri azaltmak.” Tüketici yazılım güvenliğine adanmış benzer bir organizasyon oluşturmanın zamanı geldi mi? Misyon oldukça benzer olacaktır: Yazılımın temel güvenlik ve emniyet standartlarını karşıladığından ve tüketicilerin anlaması, uygulaması ve sürdürmesi kolay olduğundan emin olmak.
Bugün, otomobillerin halka satışa sunulmadan önce temel güvenlik standardını karşılaması gerekiyor, ancak yazılım bunu karşılamıyor. Her Amerikalının kendisini ve verilerini dijital suçlardan korumasını nasıl kolaylaştırabiliriz?
Temel Emniyet ve Güvenlik İhtiyaçlarının Karşılanması
Uber’in Android uygulaması 10 milyondan fazla kod satırına sahiptir (lansman sırasında yalnızca 10.000 civarındaydı), bu da yaklaşık 12 milyon satırlık kodla gelen tipik akıllı telefon işletim sistemi kadardır. Akıllı telefonlarda binlerce ayar mevcuttur. Birçoğu güvenliği ve gizliliği etkiler ve çoğu kullanıcı için önemli olan son kullanıcılar tarafından yapılandırılabilir. Ne yazık ki pek çok yazılım ve cihaz kullanıcısı bu konfigürasyonların her birini dikkatli bir şekilde değerlendirmeleri gerektiğinin farkında değil. Yalnızca yanlış yapılandırmanın onları potansiyel saldırganlara maruz bırakabileceği için değil, aynı zamanda onları, verilerini düşündüklerinden daha fazla açığa çıkarabilecek şekillerde kullanmaya yönelik meşru girişimlerden korumak için de.
Çok az sayıda yazılım ve cihaz, kullanıcıları kendilerini saldırılara maruz bırakmaktan veya varsayılan olarak aşırı izin verilen veri erişiminden koruyarak tüketicileri kötü niyetli aktörler için kolay bir hedef haline getiriyor. Yazılım güvenliğini artırmak için güvenlik özelliklerinin varsayılan olarak mevcut olması gerekir, ancak etkili olabilmeleri için kullanıcıların da bu özellikleri kullanması gerekir.
Güvenlik Derecelendirmeleri Oluşturma
Tüketici yazılım güvenliğiyle ilgili bir sorun, yazılım ve cihaz üreticilerinin, bunları varsayılan yapılandırmayla kullanmanın tehlikesi konusunda insanları uyarmamasıdır. Müşterilere araçlarının güvenlik profilini söyleyen birçok derecelendirme kuruluşu var. NHTSA, tüketicilerin en güvenli araçları seçebilmeleri ve geri çağırmalar hakkında kolayca bilgi alabilmeleri için araç güvenlik derecelendirmeleri sağlar. Ayrıca tüketicileri, politika yapıcıları ve güvenlik profesyonellerini eğitmek için araştırma ve değerlendirme yürüten bağımsız, kar amacı gütmeyen bir kuruluş olan Karayolu Güvenliği Sigorta Enstitüsü (IIHS) de bulunmaktadır. Tüketiciler, istedikleri işlevselliği kritik güvenlik özellikleriyle dengelemek için bu kuruluşlardan gelen bilgileri kullanabilirler. Bu, tüketicilerin araç seçerken işlevsellik ve güvenlik konusunda bilinçli bir seçim yapmalarına olanak tanıyor.
Anlaşılır bir şekilde, yazılım geliştiricilerin, piyasaya sürülmeden önce olası tüm hataları belirlemek ve düzeltmek için kapsamlı yazılım testleri gerçekleştirmesi göz korkutucu bir görevdir. Bu sıkıcı, karmaşık ve hataya açık bir süreçtir. Buna rağmen Beyaz Saray, Ülkenin Siber Güvenliğinin İyileştirilmesine İlişkin Yönetici Emri’nin 4. bölümünde yazılım tedarik zincirinin geliştirilmesi çağrısında bulundu. Hatasız bir yazılım yayınlamak zor (ve belki de imkansız) olsa da, müşterileri varsayılan ayarları gözden geçirmeleri ve değiştirmeleri konusunda uyarmak zor değildir.
Bu uyarı her yazılım uygulaması ve cihazıyla birlikte gelmelidir. İdeal olarak, uzun, ayrıştırılması zor şartlar ve koşullar sayfasından veya cihaz kutusundaki küçük, kötü tercüme edilmiş bir kağıt parçasından daha erişilebilir olmalıdır. Büyüteç, hukuk diline aşinalık ve çok fazla sabır gerektirmek yerine, bir bakışta okunması ve anlaşılması kolay olmalıdır.
Tüketicileri bir uygulamanın varsayılan yapılandırmasını kullanmanın riskli olabileceği konusunda uyarmanın yanı sıra, tüketicilerin satın aldıkları şeyin doğası gereği riskli olduğunu bilmelerine olanak tanıyan ve böylece seçim yaparken yaptıkları ödünleşimlerin aynısını bilinçli olarak yapabilmelerini sağlayan bir derecelendirme sistemine evrilebiliriz. bir araç. Örneğin, bir derecelendirme sistemi şunları dikkate alabilir:
- Geçmişte belirli bir işletim sistemi veya uygulamanın saldırıya uğrama yolları.
- Uygulamayı daha güvenli hale getirmek için zaman içinde gerekli olan güvenlik düzeltme eki sayısı.
- Uygulamadaki şifreleme, kimlik doğrulama ve yetkilendirme gibi güvenlik özellikleri.
- Kullanıcı verilerini nasıl topladığı ve kullandığı da dahil olmak üzere kuruluşun gizlilik uygulamaları.
Bu, kullanıcıyı bir üründen uzaklaştırabilir veya en azından zamanla ürünün güvenlik profiline ilişkin farkındalığını artırabilir. Örneğin, bazı İnternet tarayıcılarının doğası gereği diğerlerinden daha riskli olduğu iyi bilinmektedir. Peki ya önceden bir güvenlik derecelendirmesiyle gelselerdi? Kullanıcılar, işlevsellik ile güvenlik arasında ödün vermek isteyip istemediklerine karar vermek için bu derecelendirmeye güvenebilirler.
Yazılım Güvenliğinde Tüketicinin Rolü
Her gün, gün boyu kullanıcıların elinde bu kadar çok yazılım varken, kullandıkları yazılım ve cihazlara ilişkin kendi güvenlik ve gizlilik incelemelerini başlatmaları zorunludur. Çoğu kullanıcı yalnızca kendileri için önemli olan özellikleri ve uygulamaları yapılandırmaya odaklanır. Bazıları önemli kullanılabilirlik özellikleri olsa da, kullanıcıların çok daha fazlasının da söz konusu olduğunun farkına varmaları gerekir. Kullandıkları uygulamalar işletim sistemi ayarlarıyla etkileşime giriyor ve bu da uygulamanın kendilerini daha yüksek risk altına sokmasına neden olabiliyor.
Güvenlik eğitimcileri ve yazılım sağlayıcıları olarak rolümüz, kullanıcıları kullanıma hazır yeni yazılım ve cihazlardaki tüm varsayılan ayarları gözden geçirmeye ve uygun şekilde değişiklik yapmaya teşvik etmek olmalıdır. Ne yazık ki, bu çoğu kullanıcı için kolay bir görev olmaktan uzaktır.
Şu anda kullanıcıların en önemli ayarları yapılandırma konusunda gezinmelerine yardımcı olacak kılavuzlar mevcut; bu da onlara işlevsellik, güvenlik ve gizlilik arasındaki dengeyi seçme seçeneği sunuyor. Örneğin Consumer Reports, tüketicilerin çevrimiçi ortamda güvende kalmalarına, çevrimiçi izlemeyi kontrol etmelerine ve telefonları ve dizüstü bilgisayarlarını saldırganlardan korumalarına yardımcı olmak için “Dijital Güvenlik ve Gizlilik Kılavuzu”nu yayınladı. Bu kılavuzlar yararlı olsa da çok az sayıda kullanıcı bunları okuyup bunlardan yararlanıyor. Mevcut yönetimin daha geniş siber güvenlik politikalarıyla uyumlu basit bir güvenlik derecelendirme sistemi, tüketicilerin kendilerini, yazılımlarını ve cihazlarını nasıl güvende tutacaklarına ilişkin temel bilgileri anlamalarını sağlayabilir.