Некоторые из крупнейших имен в технологической отрасли подписали публичное обязательство, поддержанное Агентством кибербезопасности и безопасности инфраструктуры США (CISA), пообещав реализовать важные меры безопасности программного обеспечения в своих продуктах.
В обещании CISA “Безопасность за счет дизайна” (“Secure By Design”) обозначены семь областей, в которых подписавшие его стороны, как ожидается, добьются значительных улучшений. Многофакторная аутентификация должна использоваться по умолчанию, пароли по умолчанию должны быть рандомизированы или обязательно изменены при первом использовании, а атаки SQL-инъекций должны быть исключены, например, путем принудительного применения параметризованных запросов. В обязательстве также содержится просьба к подписавшим сторонам внедрять регулярные исправления, политику раскрытия уязвимостей, прозрачные CVE и данные о вторжениях.
Среди крупных поставщиков, подписавших обязательство, — Cisco, AWS, Google, IBM, Microsoft, Lenovo и другие.
«Это обязательство направлено на то, чтобы дополнить и развить существующие передовые методы обеспечения безопасности программного обеспечения, в том числе разработанные CISA, NIST и другими федеральными агентствами, а также лучшие международные и отраслевые практики», — говорится в заявлении CISA.
“Безопасность по умолчанию” (“Security-by-default”) была ключевой политической целью директора CISA Джен Истерли, которая была назначена на эту должность в июле 2021 года и с тех пор публично говорила о том, что она называет «опасным по дизайну» (“dangerous-by-design”) характером многих технологий, предупреждая, что общественность уже привыкла к ошибкам и недостаткам безопасности в компьютерных технологиях, которые они никогда бы не приняли в других отраслях.
«Мы обвиняем пользователей в небезопасных технологиях», — сказал Истерли в своем выступлении в Университете Карнеги-Меллон в феврале. «Вместо того, чтобы с самого начала создавать эффективную безопасность, производители технологий используют нас, пользователей, в качестве манекенов для краш-тестов — и мы каждый день ощущаем реальные последствия этих сбоев».
Однако правительство располагает ограниченными инструментами для решения таких проблем, по словам Кэтелла Тилеманна, вице-президента Gartner.
Это обязательство, которое не имеет юридической силы и в любом случае является полностью добровольным, вряд ли повлияет на общеотраслевые усилия по нормализации его принципов. По словам Тилеманна, в нескольких важных областях оно не достигает цели.
«С моей точки зрения, одна из вещей, которой не хватает, — это то, что оно исключает технические средства», — сказала она. «Программное обеспечение встроено во все эти технические системы, которые лежат в основе всего, что мы делаем, от Tesla до электросетей».
В конечном итоге, по словам Тилеманна, обещание CISA является шагом в правильном направлении, но вряд ли станет определяющим фактором в принятии решений CSO. Учитывая, что в проекте участвуют 68 компаний — из тысяч возможных поставщиков — данное обязательство еще не готово стать значимым знаком одобрения.
Усилия CISA по улучшению климата кибербезопасности в США на этой неделе продвинулись по нескольким направлениям. Агентство объявило, что добавит 30 дней к периоду комментариев для предлагаемого им нормотворчества по CIRCIA, закону 2022 года, который требует сообщать о кибератаках и выплатах выкупов. CIRCIA установила 72-часовой период для сообщения о любой атаке, при этом о выплате выкупа необходимо сообщать в течение 24 часов.