Yazılım endüstrisi liderleri, CISA güvenlik desteğinin gerçek maliyetlerini ve faydalarını tartışıyor


Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nın uzun zamandır beklenen kurallarını fiilen uygulamanın yüce hedefleri ve potansiyel maliyetleri hakkında güçlü bir tartışma ortaya çıkıyor. Tasarım gereği güvenlik yönergeleri.

CISA, FBI ve Ulusal Güvenlik Teşkilatı ile birlikte Perşembe günü önemli uluslararası siber otoritelerle uyum içinde kapsamlı bir yönergeler seti açıkladı.

Yetkililer, küresel yazılım endüstrisini koddaki kusurları en aza indirmek, çok faktörlü kimlik doğrulamayı standart bir güvenlik özelliği haline getirmek ve kötü niyetli saldırı riskini azaltmak için başka adımlar atmak için uygulama geliştirme biçiminde önemli değişiklikler yapmaya çağırıyor.

“Şirketler elbette güvenli ürünler geliştirmek için çalışıyor, ancak [are they] müşterilerinin güvenlik sonuçlarının gerçek sahipliğini nasıl üstlendiklerini gerçekten düşünüyorlar,” Bob Lord, CISA’da kıdemli teknik danışman, bir röportajda Cybersecurity Dive’a söyledi. “Bu, tüm organizasyona yayılması gereken bir zihniyet değişikliği.”

Dahil olan hemen hemen herkes, yazılım endüstrisinin daha güvenilir uygulamalar oluşturmak istediğini, ancak bunun için gerekli iyileştirmeleri yapmak için önemli bir zaman, para ve uzmanlık yatırımı gerektirdiğini söylüyor. Korku, yenilikçiliğin, müşteri sadakatinin ve nihayetinde kârlılığın kaybıdır.

BSA olarak da bilinen Software Alliance, CISA’yı, tasarım gereği güvenlik uygulamalarını uygulamaya yönelik küresel bir çabayı bir araya getirdiği için övdü.

BSA’nın politika direktörü Henry Young e-posta yoluyla, “Kurumsal yazılım şirketleri, müşterilere ve halka karşı sorumluluklarını ciddiye alıyor ve ürünlerinin güvenliğini yeni tehditlere karşı geliştirmek için sürekli çalışıyor” dedi.

Young, tasarım gereği güvenlik ilkelerini yıllarca savunan BSA’ya atıfta bulundu ve bu ilkeler,e Güvenli Yazılım için BSA Çerçevesi. BSA, ilkeleri desteklemenin ötesinde, CISA’nın kıdemli iş liderlerine yönelik siber risk yönetiminde liderlik rolü üstlenme çağrısını da destekliyor.

CISA yetkilileri Cybersecurity Dive’a, şirket liderlerinin şirketlerin siber risk yönetimini desteklediğinden emin olmak için yukarıdan aşağıya bir yaklaşım benimsemeleri gerektiğini söyledi.

Google, hangi alenen destek sözü Şubat ayındaki çaba için, dünya genelinde hükümetlerin tasarım gereği güvenlik ilkelerine öncelik vermesinden memnun olduğunu söyledi.

“İyi bir güvenliğin, insanların eline geçen teknolojiyi geliştiren şirketlerle başladığına inanıyoruz.” Royal Hansen, Google’da gizlilik, emniyet ve güvenlik mühendisliğinden sorumlu Başkan YardımcısıPerşembe günü e-postayla gönderilen bir açıklamada söyledi.

Hansen, varsayılan olarak güvenli olan ürünler oluşturmanın “Google’ın güvenlik yaklaşımının merkezinde” olduğunu ve şirketin “işletmelerden tüketicilere ve kamu görevlilerine kadar” herkese hizmet etme biçimine kök saldığını söyledi.

Öte yandan Microsoft, tasarımı gereği güvenliğin kullanıma sunulması hakkında yorum yapmaktan kaçındı ve bunun yerine bir açıklama paylaştı. Tom Burt’tan 9 Mart bloguBiden yönetiminin ulusal siber güvenlik stratejisine desteğini ifade ettiğinde.

Bir kavram olarak güvenli tasarım çerçevesi için halk desteği olsa da, Hopr CEO’su Tom McNamaraCISA’nın iddialı hedeflerinin ulaşılabilir eylemlere dönüştürülebileceğinden şüphe duyuyor.

McNamara, e-posta yoluyla, “Yazılım koduyla ilgili sorun – ister yazılım ister donanım ürününde olsun – kapalı bir sistemde nadiren çalışmasıdır” dedi. “Onu her türlü planlanmamış etkileşime maruz bırakan, birbirine bağlı bir sistemin (kablosuz cihazları düşünün) bir parçası.”

Örneğin, McNamara’ya göre bulutta çalışan IoT cihazları ve birbirine bağlı sistemler kullanan modern üretim ortamlarında bu her zamankinden daha fazla geçerli. Bu tür ortamlarda sıfır gün güvenlik açıkları hayatın bir gerçeğidir.

McNamara, temel olarak ekonomik kaygılar nedeniyle, varsayılan olarak güvenli hale ulaşmanın daha da zor olacağını söyledi.

CISA yetkilileri, optimum güvenlik düzeyine ulaşmak için müşterilerin ürünlerde kapsamlı yapılandırma değişiklikleri yapmaktan kaçınmasına izin vererek varsayılan olarak güvenli konumlandırır. Örneğin, MFA varsayılan olarak etkinleştirilir. Yazılım kullanıcılarının ayrıca ekstra güvenlik için ek ücret ödemeleri gerekmeyecek, bunun yerine bu ek katmanlar, ürünler gönderilmeden önce ürünlere dahil edilecek.



Source link