Tasarım gereği güvenlik için 3 CISA ilkesi


Federal yetkililer ve önde gelen sektör uzmanları bir sonuca vardılar: teknoloji müşterileri artık kullandıkları uygulamalara gömülü her bir güvenlik kusurunun peşine düşemezler.

Bu, sorumluluklarda önemli bir kaymaya neden oldu. Biden yönetimi yetkilileri, teknoloji şirketlerinden tasarım ve geliştirme aşamasında ürünlerine daha iyi güvenlik eklemelerini istiyor.

Siber Güvenlik ve Altyapı Güvenliği Ajansı Direktörü Jen Easterly Pazartesi günü yaptığı açıklamada, “Teknolojiyi hayatımızın neredeyse her alanına entegre ettiğimiz için, farkında olmadan bu tür teknolojilerin tasarım gereği tehlikeli olduğunu normal kabul etmeye başladık” dedi. Carnegie Mellon Üniversitesi’nde.

CISA, güvenli bir tasarım ahlakı için üç temel ilke belirlemek üzere çalışıyor:

  • Güvenliğin yükü asla yalnızca müşteriye yüklenmemeli ve endüstrinin güvenlik sonuçlarının sahipliğini alması gerekiyor.
  • Üreticilerin, tüketici güvenliği sorunlarının kapsamını açıklamak ve tüketicilerin daha iyi anlamalarına yardımcı olmak için radikal şeffaflığı benimsemesi gerekiyor.
  • Teknoloji endüstrisi liderlerinin, güvenli ürünler oluşturmaya odaklanmaları ve tasarım teknolojisiyle güvenli bir şekilde nasıl geliştireceklerini ve güncelleyeceklerini açıklayan yol haritaları yayınlamaları gerekiyor.

CISA, tartışmayı, çoğu karmaşıklıktan yoksun küçük ve orta ölçekli işletmeler olan müşterileri suçlamaktan ve utandırmaktan, genellikle teslimattan önce birçok güvenlik sorununu işaretleyip test etmekte başarısız olan teknoloji şirketlerine taşımaya çalışıyor.

Easterly, tüketici savunucusu Ralph Nader’in Detroit’i sürücü güvenliği endişelerini otomobillerinin tasarımına dahil etmeye zorlaması için 20. yüzyıldaki baskısına başvurdu.

1960’lar ve 70’lerdeki otomotiv endüstrisi gibi, Nader emniyet kemerlerine entegre çarpma korumasının bulunmadığını veya daha sonra hava yastıklarının itildiğini söylediğinde, endüstrinin daha güvenli ürünler yaratmak için daha fazlasını yapabileceği duygusu artıyor.

Gartner’ın VP analistlerinden Katell Thielemann e-posta yoluyla, “Pazara giriş hızının güvenlik, güvenlik ve güvenilirlikten önce gelmesine izin veren mevcut yaklaşımın sürdürülebilir olmadığı çok açık” dedi.

Easterly ayrıca, zekayı paylaşmama ve güvenliği kuruluşlardaki BT çalışanlarına devretme konusundaki kumdaki kafa yaklaşımına da seslendi.

Bu, tehdit aktörlerinin aynı oyun kitabına tekrar tekrar geri dönmesini ve diğer kuruluşları tehlikeye atan aynı yöntemleri kullanarak saldırılar başlatmasını sağlıyor.

Easterly, sosyolog Diane Vaughan’ın uzay mekiği Challenger’ın 1986’daki patlaması hakkında yazdığı bir kitapta geliştirdiği bir teoriye göre, giderek daha ciddi sorunları görmezden gelme modelinin “sapkınlığın normalleşmesine” bir örnek olduğunu söyledi.



Source link