Jatkuva taistelu suunnittelun turvallisuuden puolesta

Danny Bradburyn kirjoittama • 12 lokakuu 2023

Uusien monimutkaisten tuotteiden turvallisuusongelmissa yhteiskunnan vastaus on tyypillisesti johdonmukainen: ensinnäkin syytetään käyttäjää. Vasta myöhemmin sinun tulee asettaa valmistaja vastuuseen heidän tuotteidensa suunnitteluvirheistä. Näimme tämän autoilla ja sitten tietokoneilla. Mutta aivan kuten auto muuttui, myös IT-alan asenteet kehittyvät.

Ensimmäiset autot tulivat myyntiin Yhdysvalloissa 1890-luvun lopulla. Sen jälkeen tuli joukko valtion turvallisuuslakeja. Connecticut otti käyttöön ensimmäisen nopeusrajoituksen vuonna 1901. Sitten tulivat ensimmäiset liikennevalot. New York hyväksyi ensimmäisen rattijuopumuslain vuonna 1910. Lopulta (mutta hitaasti) osavaltiot alkoivat myöntää kuljettajien ajolupia ja jopa testata heitä toisinaan.

Rangaista käyttäjää, säästä myyjää

Nämä kuljettajan käyttäytymistä säätelevät toimenpiteet olivat kaikki tärkeitä, mutta kukaan ei pitänyt automyyjiä vastuullisena tuotteidensa turvallisuuden suunnittelusta. Vasta vuonna 1965, kun Ralph Nader julkaisi ajoneuvojen turvallisuutta käsittelevän kirjansa, Unsafe at Any Speed, kuluttajat alkoivat ajatella vaativampia turvallisempia autoja. Vuotta myöhemmin kongressi hyväksyi kansallisen liikenne- ja moottoriajoneuvojen turvallisuuslain, joka loi liikenneministeriön ja pakotti lopulta autokauppiaat kiinnittämään turvavyöt ajoneuvoihin.

Kongressi hyväksyi turvavyölain 60 vuotta sen jälkeen, kun ensimmäinen Ford Model T vieri pois tuotantolinjalta. Ei ehkä siis ole yllättävää, että 42 vuotta IBM:n PC:n lanseerauksen jälkeen niitä on tuskin mitään lakeja teknologiatuotteiden myyjät ovat samalla tavalla vastuussa tuotteidensa turvallisuudesta.

Ainoat todelliset tietokoneturvallisuutta koskevat lait ovat olemassa käyttäjien valvomiseksi. Tietokonepetoksia ja väärinkäyttöä koskeva laki (CFAA), jonka tarkoituksena on estää kyberturvallisuuden tunkeutuminen, hyväksyttiin lähes 40 vuotta sitten, eikä sitä ole päivitetty merkittävästi sen jälkeen. Digital Millennium Copyright Act (DMCA) keskittyy estämään ihmisiä kiertämästä digitaalisia tekijänoikeuksia.

Herääminen suunniteltuun turvallisuuteen

Nyt pyritään saamaan valmistajat toimimaan oikein ja rakentamaan tuotteisiinsa turvallisuutta jo suunnitteluvaiheessa sen sijaan, että ne toimisivat jälkimarkkinoiden lisäosina. Huhtikuussa 2023 Cybersecurity and Infrastructure Security Agency (CISA) julkaisi ohjeensa turvallisesta tuotesuunnittelusta: Kyberturvallisuusriskien tasapainon muuttaminen: Suunniteltujen ja oletusturvallisuuden periaatteet ja lähestymistavat.

Suunniteltu tietoturva rakentaa turvallisuutta suunnitteluvaiheesta eteenpäin sen sijaan, että se olisi jälki- tai jälkimarkkinalisäosa. Suojaus oletuksena varmistaa, että suojaus on kytketty päälle ja suojaa käyttäjiä heti ilman lisäkuluja.

Yhteisen neuvonantajan periaatteisiin kuuluu joitain ilmeisiä järjettömyyksiä. Se esimerkiksi varoittaa, että turvallisuustaakka ei saa jäädä yksinomaan asiakkaalle. Ohjelmistotoimittajien tulisi "ottaa omakseen asiakkaansa oston tietoturvatulokset". Tämä oli myös strateginen tavoite Valkoisen talon maaliskuussa 2023 Kansallinen kyberturvallisuusstrategia.

Toinen on "radikaali läpinäkyvyys", jossa ohjelmistovalmistajien tulisi olla ylpeitä luomalla turvallisia tuotteita ja osoittamalla, kuinka he tekevät sen.

Kaikki tämä perustuu kolmanteen periaatteeseen: näitä tavoitteita tukevan johtajuusrakenteen rakentamiseen. Ylempien johtajien on oltava valmiita keräämään asiakkaiden palautetta tuoteturvallisuudesta ja sitten omistamaan sisäiset resurssit näiden ongelmien ratkaisemiseen. Tämä organisaatiorakenne voi tarkoittaa tietyn henkilön omistamista ohjelmistojen turvallisuudesta, asiakirja lisää.

Ongelma myyjän vastuun kanssa

Suunniteltu turvallisuus kuulostaa yksinkertaiselta ehdotukselta, mutta kannattajat kohtaavat useita ankaria haasteita, joista monet ovat rahallisia.

Ensinnäkin vastuun ottaminen ohjelmistojen turvallisuudesta on huomattava riski ohjelmistotoimittajille, joiden asiakkaat joutuvat joka päivä valtaviin tappioihin ohjelmistovirheiden vuoksi. Vain erittäin äärimmäisissä tapauksissa nämä myyjät kärsivät taloudellisesti. Esimerkiksi SolarWindsin vakuutusyhtiöt maksettu 26 miljoonaa dollaria asiakkaille sovintoratkaisussa sen jälkeen, kun sen vaarantunut ohjelmisto vaikutti noin 18,000 2020 organisaatioon vuonna XNUMX.

Jokaiselle teknologiatoimittajalle, joka pyrkii turvaamaan tuotteensa alusta alkaen, on paljon sellaisia, jotka eivät halua. Valkoinen talo on sitoutunut työskentelemään kongressin kanssa kehittääkseen lainsäädäntöä, jossa vahvistetaan myyjän vastuu teknisten tuotteiden turvallisuudesta, mutta kun olemme alkamassa vaalivuoteen ja kongressi voi tuskin sopia tarpeeksi pitääkseen hallituksen käynnissä, tämän mahdollisuudet näyttävät vähäisiltä.

Toistaiseksi heidän pakottaminen muutokseen saattaa olla asiakkaan tehtävä. CISA suosittelee, että yritykset äänestävät lompakoillaan ja arvioivat toimittajiensa pyrkimyksiä suojata tuotteita sisäänrakennetulla ja oletusarvoisella tavalla. Valkoinen talo auttaa tässä. Heinäkuussa se ilmoitti US Trust Markista, kyberturvallisuusluokitusjärjestelmästä, joka auttaa kuluttajia arvioimaan verkkoon kytkettyjä laitteita.

Myyjän vastuuseen liittyy muitakin haasteita. Vaikka jotkin tietoturvavirheet voivat olla toimittajan syytä, on monia, joissa myyjä voi syyttää asiakasta ohjelmiston väärinkäytöstä tai konfiguroinnista.

Yksi työkalu, joka auttaa estämään tällaista asiakkaiden väärinkäyttöä, on ohjelmiston valtuutusprofiili. Tämä sisäänrakennettu tietoturvataktiikka, jota CISA korostaa ohjeissaan, suosittelee, kuinka tietyntyyppisten käyttäjien tulisi käyttää ohjelmistoa, mukaan lukien erilaisten roolejen käyttöoikeudet. Tämä estää postihuoneen valvojaa pääsemästä samoihin toimintoihin toiminnanohjausjärjestelmässä kuin esimerkiksi myyntipäällikkö. Taitavat ohjelmistotoimittajat voivat varoittaa käyttäjiä, jos he yrittävät poiketa profiilista.

Kustannukset ja monimutkaisuus

Sulautettu tietoturva on monimutkaista ja kallista. Kuten yhteisessä neuvonnassa todetaan: "Secure by-Design -kehitys vaatii ohjelmistovalmistajilta merkittäviä resursseja tuotesuunnittelu- ja kehitysprosessin jokaiselle tasolle, jota ei voida "pultata" myöhemmin.

Tämä on erityisen ongelmallista käsiteltäessä vanhoja ohjelmisto- ja laitteistotuotteita. Monet ohjelmistotoimittajat työskentelevät vuosien aikana kehitetyn monoliittisen vanhan koodin kanssa, joka on hauras ja vaikea päivittää. Tämä on vaikeampi päivittää kuin modulaarinen ohjelmisto, jossa on monia itsenäisiä ja löyhästi kytkettyjä komponentteja.

Yritykset voivat maksaa tämän teknisen velan asteittain useiden tuoteiteraatioiden aikana, mutta ohjelmiston purkaminen takaisin perustalle ja turvallisuuden uudelleenjärjestely alusta alkaen vaatii huomattavia resursseja.

Turvallinen suunnittelu: kiittämätön tehtävä

Tästä pääsemmekin seuraavaan ongelmaan: näkyvyyteen tai sen puutteeseen.

Tuota kiiltävä, erittäin näkyvä uusi ominaisuus, kuten generatiivinen tekoäly, ja houkuttelet asiakkaat joko ostamaan tuotteesi seuraavan version tai säilyttämään tilauksensa. Päinvastoin, säätö koodi konepellin alle turvallisuuden lisäämiseksi ja hyvin järjestetty on kiitettävää, mutta kiittämätöntä; se ei ole suuri myyntivaltti monille asiakkaille. Verkkosivusto, jossa lukee "Nyt turvassa sisältä ulospäin", saa todennäköisesti vastauksen: "Mitä tarkoitatko, että se ei ollut niin turvallinen alun perin?"

Turvallisuus on aina ollut vähän kuin omaisuus- tai henkivakuutus: se on tehtävä, mutta sitä on vaikea myydä. Omien muiden kuin tietoturvatuotteiden turvallisuuden parantaminen ei tuota suoria tuloja. Jälkimarkkinoiden tietoturvatuotteiden, kuten haittaohjelmien torjuntaohjelmistojen ja palomuurien, myynti on kuitenkin kannattavaa.

Suunniteltu turvallisuustaktiikka

Kaiken tämän jälkeen haasteiden ei pitäisi estää meitä pyrkimästä tietoturvaan. Organisaatiot voivat ottaa käyttöön joitain taktiikoita, jotka auttavat edistämään ohjelmistojen turvallisuutta alusta alkaen. Yksi niistä, jota korostetaan CISA-ohjeissa, on muistiturvallisten kielten käyttö.

Jotkut perinteiset matalan tason ohjelmointikielet, erityisesti C ja C++, antavat ohjelmoijille mahdollisuuden manipuloida muistialueita, joita heidän ei pitäisi. He voivat lukea muistia, joka saattaa sisältää arkaluonteisia tietoja tai sopimatonta koodia. Ne voivat myös muuttaa muiden ohjelmien toimintaa tai saattaa ne hämmentyneeseen tilaan, jolloin ne ovat alttiina hyökkäyksille.

Käyttöjärjestelmätoimittajat ovat ottaneet käyttöön muistinsuojaustoimenpiteitä, mutta CISA:n mukaan ne eivät yksinään riitä. Sen sijaan se suosittelee käyttämään ohjelmointikieliä, joissa on sisäänrakennetut muistisuojat, kuten C#, Go tai Rust.

Tämän ongelman käsitteleminen alusta alkaen voi tuoda merkittäviä tietoturvaparannuksia. Vuonna 2019 Microsoftin insinöörit sanoi että noin seitsemän kymmenestä Microsoftin tuotteiden haavoittuvuuksista johtui muistin turvallisuusongelmista.

Kuka on suunnittelultaan johtava tietoturva

Useilla hallitus- ja teollisuusryhmillä on jo turvalliset suunnitteluperiaatteet ja -kehykset, jotka keskittyvät teknologiapinon eri tasoihin. Ohjelmistopuolella näitä ovat mm NISTin Secure Software Development Framework ja alan laajuinen aloite turvalliseen ohjelmistokehitykseen nimeltä SafeCode. On myös joitain ponnisteluja turvallisuuden rakentamiseksi tietyille alueille, kuten verkkosovellusten suunnitteluun OWASP:n turvalliset suunnitteluperiaatteet.

Laitteiston puolella yritykset ovat työskennelleet yhdessä vuosia TPM-järjestelmissä, jotka tallentavat salaisuudet fyysisesti emolevyn väärentämisen estävään piiin. Tässä vaiheessa et voi asentaa Windows 11:tä ilman versiota 2.0 TPM.

Kilpajuoksu (pinosta)

Microsoftin vaatima TPM-laitteistoa on esimerkki siitä, kuinka jotkut toimittajat tekevät parhaansa puuttuakseen tietoturvaan ja tekevät yhteistyötä keskenään luodakseen tietoturvaketjuja, jotka alkavat piistä ja ulottuvat käyttöjärjestelmään.

Yksi esimerkki on Secure Boot, suojausominaisuus, joka tallentaa valmistajan hyväksymiä koodeja, jotka todistavat järjestelmän eri komponenttien, kuten laiteohjelmiston ja käyttöjärjestelmän, olevan laillisia. Tämä perustuu TPM:ään sekä Unified Extensible Firmware Interface -liitäntään (UEFI), joka on tietokoneen laiteohjelmiston nykyaikainen versio – asia, joka suorittaa ja käynnistää muun tietokoneen, kun se käynnistyy.

Tarkistamalla ja suojaamalla koodia alemmilla järjestelmätasoilla käyttöjärjestelmien toimittajat ja alkuperäisten laitteiden valmistajat pyrkivät varmistamaan täydellisen hallinnan kaikessa, joka perustuu kyseiseen koodiin. Näihin suojauksiin liittyy kuitenkin omia turvallisuuspuutteitaan, kuten kaikessa muussakin. Secure Bootin tapauksessa Baton Drop -niminen haavoittuvuuskoodi antoi hyökkääjille mahdollisuuden ottaa käyttöön BlackLotus-nimisen UEFI-rootkitin, joka kiisti nämä suojaukset ja antoi hyökkääjille mahdollisuuden omistaa järjestelmän hyökkääjilleen.

Tällaiset hyökkäykset eivät tarkoita, etteikö meidän pitäisi pyrkiä turvallisuuteen suunnittelun ja oletuksen mukaan. Turvallisuuden lisääminen järjestelmään alusta alkaen työntää neulan puolustajien hyväksi ja vaikeuttaa hyökkäyksiä. Mutta BlackLotuksen kaltaiset hyökkäykset osoittavat, että jopa suunnitteluvaiheessa asetettu turvallisuus voidaan kiertää. Vastaus on suunnitella useita suojakerroksia ja -asuntoja järjestelmiin, minimoimalla hyökkäyksen pinta ja tarjoamalla useita esteitä hyökkääjille.

Säännöt

Hallitukset ovat ottaneet vakavasti sisäänrakennetun turvallisuuden, ja niillä on useita lainsäädäntötoimia joko täällä tai valmisteilla. Yhdysvalloissa Kalifornia ja Oregon ovat hyväksyneet IoT-tietoturvalait. Nämä edellyttävät yksittäisillä yhdistetyillä laitteilla joko yksilöllisiä esiohjelmoituja salasanoja tai pakottavat käyttäjät luomaan uuden todennustavan ennen kuin he voivat käyttää laitetta ensimmäisen kerran.

Yhdistyneessä kuningaskunnassa Product Security and Telecommunications Act (Tuoteturvallisuus- ja televiestintälaki) määrää perusturvavaatimukset yhdistetyille tuotteille heti, kun ne ovat valmiina. Näitä ovat yksilölliset salasanat, tiedot tuotteen tietoturvaongelmien ilmoittamisesta ja tietoturvapäivitysten vähimmäistukijakso.

Tämä on alkua, mutta silti puuttuu joitakin mahdollisuuksia toteuttaa vankka suojaus tärkeimmissä tuotteissa. Esimerkiksi pöytätietokoneet ja kannettavat tietokoneet ja tabletit eivät kuulu Yhdistyneen kuningaskunnan lain piiriin, kuten myös lääketieteelliset laitteet, älykkäät mittarit ja älypuhelimet. Ainakin yhdistetyt vedenkeittimesi ja verkkoturvakamerasi ovat suojattuja.

Tällaisten lakien ongelmana on löytää tasapaino tehokkuuden ja monimutkaisuuden välillä. Turvallisuusperiaatteiden soveltamista mikrohallitsevia lakeja on vaikea valvoa ja päivittää. Siitä huolimatta velvoitetaan a. hakemus ja dokumentointi turvallisen ohjelmistokehityksen elinkaaren auttaisi turvaamaan monia tuotteita.

EU toivoo myös pystyvänsä käsittelemään sisäänrakennettua turvallisuusongelmaa lohkotasolla. Syyskuussa 2022 se julkaisi lainsäädäntöluonnoksen, joka on paljon tiukempi kuin Yhdistyneen kuningaskunnan laki ja joka tiukentaa kyberturvallisuussääntöjä parantaakseen tuoteturvallisuutta. Cyber Resilience Act pakottaisi valmistajat parantamaan tuotteiden turvallisuutta tuotteen koko elinkaaren ajan.

Oppiminen historiasta

PC-teollisuuden lähestymistapa turvallisuuden suunnitteluun on tällä hetkellä sama kuin autoteollisuuden 1960-luvun puolivälissä. Kyberturvallisuudesta on tullut laaja yleinen huolenaihe, ja jotkin organisaatiot ovat tutkineet sisäänrakennettua turvallisuutta koskevia lähestymistapoja vapaaehtoisesti erottuakseen toisistaan ja suojellakseen käyttäjiään.

Nyt hallitukset painostavat asiaa vähitellen lainsäädännöllä. Matkaa on pitkä, osittain siksi, että IT-ratkaisujen ja niitä tukevien digitaalisten toimitusketjujen monimutkaisuus on suuruusluokkaa suurempi kuin digitointia edeltävällä autoteollisuudella.

Jotkut asiat pysyvät ennallaan, erityisesti kuluttajien tietoisuuden puute tai ambivalenssi. Kun Yhdysvallat määräsi turvavyön sisällyttämisen autoihin, niiden käyttö oli vapaaehtoista. Kun ensimmäiset osavaltiot alkoivat vaatia turvavöiden käyttöä melkein kaksi vuosikymmentä myöhemmin, vähemmän kuin joka viides henkilö käytti niitä. Hallitusten ja toimittajien tehtävänä on parantaa teknologiatuotteiden turvallisuutta ja varmistaa, että ne ovat oletusarvoisesti käytössä.

Danny Bradbury

Danny Bradbury on ollut teknologiaan erikoistunut printtitoimittaja vuodesta 1989 ja freelance-kirjoittaja vuodesta 1994. Hän on kirjoittanut kansallisiin julkaisuihin molemmin puolin Atlanttia ja on voittanut palkintoja tutkivasta kyberturvallisuusjournalismista.

Lue lisää Danny Bradburyn kirjoittamasta

tietoverkkoturvallisuus 15 tammikuu 2026

kehäsuojauksesta identiteettiin turvabannerina

Kehäsuojauksesta identiteettiin turvallisuuden näkökulmasta

Nykyään ei voi vilkaistakaan mihinkään tietoturvatapahtumaan näkemättä ilmausta "nollaluottamus". Se on muotisana, kyllä...

Danny Bradbury

tietoverkkoturvallisuus 18 joulukuu 2025

Kuinka navigoida Yhdysvaltojen tekoälyn vaatimustenmukaisuussokkelossa

Kuinka navigoida Yhdysvaltojen tekoälyn vaatimustenmukaisuuden sokkelossa

Sääntelyn osalta termi "Yhdysvallat" on oksimoroni. Osavaltioiden lait eivät ole lainkaan yhtenäisiä, ja jokainen lainkäyttöalue on perinteisesti...

Danny Bradbury

tietoverkkoturvallisuus 20 marraskuu 2025

Mitä myyntivoiman tietomurrot opettavat meille jaetusta vastuusta banneri

Mitä Salesforce-tietomurrot opettavat meille jaetusta vastuusta

Vuosi 2025 ei ole ollut hyvä Salesforcen asiakkaille. Epäilyttävä rikollisryhmä toteutti useita hyökkäyksiä asiakkaitaan vastaan, jotka lopulta vaikuttivat...

Danny Bradbury