Miksi toimittajat voivat kamppailla ylläpitääkseen "turvallisen suunnittelun" vauhtia
Sisällysluettelo:
Lukuisat teknologiatoimittajat ovat allekirjoittaneet Yhdysvaltain hallituksen tukeman sopimuksen Secure by Design lupaus. Mutta merkitseekö sitoutuminen irtoa menneisyydestä ja loputtomalta näyttävään kyberhyökkäysten kierteeseen? Riippumattomat asiantuntijat kehuvat aloitetta arvokkaaksi, mutta ovat edelleen epävarmoja sen todennäköisestä vaikutuksesta.
Mistä se kertoo?
Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) yrittää saada ohjelmistotoimittajat allekirjoittamaan sitoumuksen osana laajempaa strategiaa parantaa kansallista kyberturvallisuuden sietokykyä. Se on vapaaehtoinen eikä oikeudellisesti sitova, mutta sen tarkoituksena on saada ohjelmistotoimittajat tekemään tietoturvasta olennainen osa tuotekehityksen elinkaarta.
Lupauksen tavoitteet jakautuvat seitsemään kategoriaan:
⦁ Lisää monitekijätodennuksen käyttöä tuotteissa
⦁ Vähennä oletussalasanojen yleisyyttä tuotteissa
⦁ Osoittaa yhden tai useamman haavoittuvuusluokan esiintyvyyden merkittävää, mitattavissa olevaa vähenemistä tuotteissa
⦁ Lisää tietoturvakorjausten asennusta asiakkaiden toimesta
⦁ Julkaise haavoittuvuuden paljastamiskäytäntö, joka sallii julkisen testauksen
⦁ Osoita haavoittuvuusraportoinnin läpinäkyvyyttä sisällyttämällä haavoittuvuusraportteihin tarkat CWE- ja Common Platform Enumeration (CPE) -tiedot. Anna tuotteiden yleisiä haavoittuvuuksia ja altistumisia (CVE) koskevia tietueita ajoissa
⦁ Paranna asiakkaiden kykyä kerätä todisteita kyberturvallisuusmurroista, jotka vaikuttavat valmistajan teknologioihin
Ohjelmistokehittäjät, pilvipalvelut ja SaaS-teknologiat kuuluvat kaikki lupauksen piiriin, mutta fyysiset tuotteet, kuten IoT-laitteet ja kulutustavarat, eivät kuulu. Joukko 68 johtavaa teknologiayritystä – mukaan lukien Amazon Web Services, Cisco, Google ja Microsoft – allekirjoitti lupauksen, kun se lanseerattiin toukokuun alussa, ja luku on sittemmin kasvanut yli 140 toimittajaan.
CISA toivoo kasvavan yritysluettelon julkiset sitoumukset lisäävän läpinäkyvyyttä ja antavan asiakkaille mahdollisuuden arvioida toimittajien edistymistä turvallisuustavoitteiden saavuttamisessa. Valmistajia pyydetään dokumentoimaan edistymisensä tavoitteidensa saavuttamisessa vuoden sisällä sitoumuksen allekirjoittamisesta, osittain jotta laajempi teollisuus voisi oppia heidän turvallisuusmatkastaan.
Lupauksen varmuuskopiointi
Myyjät lupaavat jo rutiininomaisesti parantaa turvallisuuttaan kyberhyökkäysten tai tietomurtojen jälkeen, joten on perusteltua kysyä, kuinka paljon vaikutusta vapaaehtoisella lupauksella todennäköisesti on.
"Vaikka lupaus itsessään on elintärkeä tietoisuuden lisäämiseksi ja tarvittavan vertailuarvon asettamiseksi turvallisuuskäytännöille, se ei pakota tai kannusta toimittajia eettisen vastuun lisäksi integroimaan nämä periaatteet täysin kehitysprosesseihinsa", Keeper Securityn turvallisuudesta ja vaatimustenmukaisuudesta vastaava varajohtaja Patrick Tiquet kertoo ISMS.online.
"Jos ohjelmistoasiakkaat kuitenkin vaativat, että kehittäjät tekevät tämän lupauksen ja vahvistavat, että he noudattavat sitä, lupauksesta tulee vähemmän vapaaehtoista ja muuttuu perusodotukseksi."
Taimur Ijlal, Netifyn teknologia-asiantuntija ja tietoturvajohtaja, huomauttaa myös varovaisuudesta.
"Johtavien yritysten, kuten Microsoftin ja Googlen, on näytettävä esimerkkiä ja rohkaistava muita seuraamaan, jos he haluavat lupauksen tuovan merkittävän muutoksen", hän kertoo ISMS.online-sivustolle. "Ilman markkinavoimia tai laillisia vaatimuksia monet ohjelmistotoimittajat voivat silti olla haluttomia osallistumaan, vaikka heidän tukensa olisikin."
Ijlalin mukaan paljon riippuu allekirjoittajien eettisestä tasosta. Hän lisää, että edes kokosydäminen parannuksiin ei takaa menestystä.
"Haavoittuvuuksia lipsahtaa edelleen läpi jopa maineikkaiden toimittajien tuottamissa ohjelmistoissa", hän väittää. "Vaikka lupaus rohkaisee edistymään, siitä puuttuu täytäntöönpanomekanismeja, joilla varmistetaan, että yritykset täyttävät sitoumuksensa täysimääräisesti."
Maria Opre, kyberturvallisuusasiantuntija ja EarthWebin vanhempi analyytikko, väittää, että toimittajat voivat saada taloudellista hyötyä parantamalla tuotteidensa turvallisuutta.
"Yrityksille tietoturvaloukkauksilla voi olla tuhoisia seurauksia – säännösten mukaisia sakkoja, mainevaurioita, kalliita seisokkeja, vain muutamia mainitakseni", hän kertoo ISMS.online-sivustolle. "Suojattujen koodauskäytäntöjen noudattaminen alusta alkaen vähentää teknistä velkaa ja kallista jälkikorjausta. Se on viisas sijoitus.”
Kissa ja hiiri
On myös olemassa vaara, että uhkatoimijoiden taktiikkojen muutokset voivat horjuttaa lupauksen kautta saavutettua edistystä.
John Allison, Checkmarxin julkisen sektorin liiketoiminnan johtaja, sanoo, että uhkien kehitystä on odotettavissa, joten tavoitteena tulisi olla jatkuva turvallisuuden parantaminen ja kustannusten periminen hyökkääjiltä.
"Vastaajat kehittyvät aina, mutta tavoitteena on pakottaa heidät sopeutumaan ja investoida aikaa ja vaivaa löytääkseen aukkoja perustavanlaatuisessa tietoturva-arkkitehtuurissa", hän kertoo ISMS.online-sivustolle. "Odotan, että turvalliset suunnittelutavoitteet kehittyvät ajan myötä, kun myös uhat kehittyvät."
Netifyn Ijlal väittää, että Secure by Designista on tultava "jatkuva käytäntö" eikä yksittäinen valintaruutu.
”Kehittäjien on jatkuvasti arvioitava uusia riskejä ja kehitettävä käytäntöjään sen mukaisesti. Staattinen turvallisuus ohitetaan aina lopulta”, hän lisää. ”On hyvä opettaa kehittäjiä suunnittelemaan suojattua koodia, tekemään riskinarviointeja ja käyttämään uhkamallinnusta. Kun virtaviivaistamme menettelyjä, meidän on myös investoitava ihmisiin."
Vaihda vasemmalle
DevSecOps-käytäntöjen edistäminen, jotka rohkaisevat ohjelmistokehittäjiä "siirtymään vasemmalle" ryhtymällä turvallisiin koodauskäytäntöihin alusta alkaen, on linjassa CISA:n Secure by Design -lupauksen tavoitteiden kanssa.
Sen avulla kehittäjät voivat vähentää riskejä ennen kuin niistä tulee hyödynnettävissä olevia haavoittuvuuksia. Tämän saavuttaminen vaatii kuitenkin enemmän kuin vain lupauksia; se edellyttää turvallisuuden parhaiden käytäntöjen kattavaa integrointia koko ohjelmistokehityksen elinkaaren ajan.
"Hyvin harkitun ja tehokkaan tietoturva-arkkitehtuurin rakentaminen vaatii hyvin erilaisia taitoja kuin useimmilla ohjelmistokehittäjillä", Checkmarxin Allisonin mukaan. "Kiireessä saada uusia tuotteita markkinoille, turvallisuus usein joko jätetään huomiotta kokonaan tai tehdään minimaalisesti, mikä riittää sertifioinnin läpäisemiseen."
Standards Drive
Sertifioinnit voivat auttaa edistämään turvallista suunnittelua nostamalla rimaa sen suhteen, mitä valvontatoimia on otettava käyttöön ja miten tilintarkastajien on arvioitava yritys sertifioinnin saamiseksi. Asiantuntijat väittävät, että turvastandardit, kuten ISO 27001, voivat myös auttaa edistämään tietoturvakulttuuria. Esimerkiksi ISO 27001 tarjoaa tietoturvan hallinnan puitteet, jotka auttavat organisaatioita järjestelmällisesti käsittelemään tietoturvariskejä.
”ISO 27001:n kaltaisilla standardeilla on keskeinen rooli kehitettäessä tietoturvakulttuuria. Tällaisia standardeja noudattamalla yritykset voivat varmistaa, että turvallisuus ei ole jälkikäteen, vaan olennainen osa niiden toimintaa”, Keeper Securityn Tiquet päättää.
"Tämä standardointi voi edistää turvallisten kehityskäytäntöjen käyttöönottoa ja edistää kestävämpää ohjelmistoympäristöä."
