Yeni Nesil Teknolojiler ve Güvenli Geliştirme
68 Teknoloji Şirketi ABD Siber Ajansının Ürünlerin Güvenliğini Sağlama Taahhütüne Katıldı
Chris Riotta (@chrisriotta) •
9 Mayıs 2024
ABD’nin önde gelen siber savunma kurumu, güvenlik sorumluluklarını kullanıcılardan geliştiricilere devretmek amacıyla daha geniş bir çabayla, daha güçlü güvenlik önlemlerini doğrudan ürün tasarımlarına yerleştirmeyi amaçlayan yeni bir taahhütte 68 yazılım firmasını görevlendirdi.
Ayrıca bakınız: Bulut Tabanlı Uygulamalarınız İçin Bilgisayar Korsanları Geliyor
Siber Güvenlik ve Altyapı Güvenliği Ajansı Çarşamba günü Güvenli Tasarım taahhüdünü duyurdu. Üreticilerin üzerinde çalışacağı yedi hedef ve ölçülebilir ilerlemeyi göstermek için ayrıntılı yaklaşımlar içeriyor; bunlar arasında çok faktörlü kimlik doğrulama kullanımının artırılması, varsayılan parolaların ve tüm güvenlik açığı sınıflarının azaltılması ve üreticinin ürünleri genelinde güvenlik yamalarının geliştirilmesi yer alıyor. Söz verenler bunu önümüzdeki 12 ay içinde yapacaklarına söz verdiler.
CISA Direktörü Jen Easterly duyuruya eşlik eden bir açıklamada, “Daha güvenli yazılım, ulusumuzun karşı karşıya olduğu hiç bitmeyecek gibi görünen siber saldırı belasına karşı korunmak için en iyi umudumuzdur.” dedi. “Liderlik taahhütümüzü imzalamış olan şirketleri takdir ediyorum ve tüm yazılım üreticilerini bu sözü almaya ve teknolojinin kutudan çıktığı andan itibaren emniyetli ve emniyetli olduğu bir dünya yaratmak için bize katılmaya çağırıyorum.”
Taahhüt aynı zamanda üreticilere, ürünleri üzerinde halk tarafından test yapılmasına ve güvenlik açıklarının şeffaf bir şekilde açıklanmasına olanak tanıyan güvenlik açığı açıklama politikaları yayınlamaları yönünde çağrıda bulunuyor. Taahhüdü imzalayan kuruluşlar, “müşterilerin, üreticinin ürünlerini etkileyen siber güvenlik ihlallerine ilişkin kanıt toplama becerisinde ölçülebilir bir artış göstermeyi” kabul eder.
Secure By Design taahhüdünün 68 ilk üyesi arasında Amazon Web Services, Cisco, Cloudflare, Microsoft, Hewlett Packard Enterprise ve IBM yer alıyor. CISA’ya göre taahhüt, Ulusal Standartlar ve Teknoloji Enstitüsü’nün yanı sıra endüstri ve uluslararası standartlar tarafından geliştirilen mevcut yazılım güvenliği en iyi uygulamalarına dayanıyor.
CISA Kıdemli Teknik Danışmanı Jack Cable, açıklamada, “Taahhütteki maddeler, bugün CISA’da gördüğümüz en yaygın siber güvenlik tehditlerinden bazılarına doğrudan hitap ediyor” dedi. “Her yazılım üreticisi, müşterilerini koruma sorumluluğunun olduğunun bilincinde olmalıdır.”
CISA, FBI, NSA ve uluslararası ortaklar, 2023’te üreticilerin güvenliği tasarım sürecine daha fazla dahil etmeleri için bir çerçeve yayınladı; kritik sistemlere yönelik en önemli siber tehditleri belirlemek için risk değerlendirmeleri yapılması çağrısında bulundu ve korumaları ürün planlarına dahil etti (bkz.: CISA ve Diğerleri Güvenli Yazılım Üretimi Kılavuzunu Açıkladı).
Ajanslar, tasarım yoluyla güvence altına alma ilkelerinin “yalnızca müşteriler için güvenlik duruşunu ve geliştiriciler için marka itibarını güçlendirmekle kalmayıp, aynı zamanda uzun vadede üreticiler için bakım ve yama maliyetlerini de azalttığını” yazdı.