YORUM
Ülke çapındaki şirketler en son siber güvenlik trendine katılmak için sıraya giriyor: Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Tasarım Yoluyla Güvenlik taahhüdüyazılım üreticilerini temel siber güvenlik stratejilerine uymaya zorlayan bir taahhüttür. Lenovo, Google, AWS, Cloudflare ve Microsoft gibi şirketler zaten imza attı.
Görünüşte, Tasarımla Güvenlilik taahhüdü iyi bir şey. Yedi hedefinin her biri, üreticileri bir yıl içinde önemli bir siber güvenlik stratejisini benimsemeye veya kullanımını artırmaya teşvik ediyor. “Çok faktörlü kimlik doğrulamayı (MFA) uygulamak” gibi hedefler, temel de olsa değerlidir ve CISA, şirketleri ilerlemelerini belgelemeye teşvik eder. Yeterli olmadıkları takdirde bu başarısızlığı CISA’ya bildirmeleri de teşvik edilir.
Sorun şu ki bu rehin tamamen isteğe bağlıdır. Şirketler bunu diledikleri gibi imzalamakta veya imzalamamakta özgürdür. Ayrıca mevzuata uygunluk da hesaba katılmaz. Bu, bir şirketin taahhüdü imzalaması ve bir veya daha fazla hedefi tutturamaması durumunda bunu kimsenin bilmeyeceği ve herhangi bir işlem yapılmayacağı anlamına gelir. Sanki ilk etapta rehin hiç var olmamış gibi olacak.
Dişler olmadan rehin esasen değersizdir. Altyapılarının en yaygın saldırılara karşı korunmasını sağlamak için büyük şirketlerin atması gereken düşük çıtalı adımların (ki bu elbette iyi bir şeydir) vurgulanmasının dışında, şirketlerin bunu gerçekten yapmalarını sağlamak için hiçbir adım atılmıyor. Ve başarısız olmaları durumunda hiçbir yan etki yaratmaz.