Vlada Ujedinjenog Kraljevstva je u srijedu pokrenula proces kodifikovanja očekivanja „bezbjedno po podrazumijevanju“ za proizvođače softvera, uvođenjem dobrovoljnog Kodeksa prakse o bezbjednosti softvera koji postavlja tržišnu osnovu za način na koji se softver razvija, distribuira i održava u poslovnom okruženju.
Okvir, koji su zajednički kreirali Nacionalni centar za sajber bezbjednost (NCSC) i Ministarstvo za nauku, inovacije i tehnologiju, definiše 14 osnovnih principa koji pokrivaju sve od bezbjednog dizajna i očvršćivanja razvojnih okruženja do ritma isporuke bezbjednosnih zakrpa i transparentnosti između dobavljača i korisnika.
Britanski donosioci politika navode da se dobavljači softvera mogu odmah samostalno procjenjivati u odnosu na ovaj kodeks, dok zvaničnici razvijaju šemu sertifikacije koja bi kupcima dala nezavisnu potvrdu o usklađenosti.
Ova inicijativa se bavi onim što NCSC naziva strukturnim neuspjehom tržišta, gdje osnovne mjere zaštite poput višefaktorske autentifikacije i dalje dolaze kao dodatna, često skuplja opcija, dok mali razvojni timovi često nemaju ni budžet ni stručnost da implementiraju bezbjednost u podrazumijevana podešavanja.
Uključivanjem minimalnih zahtjeva u razgovore o nabavci, vlada Ujedinjenog Kraljevstva se nada da će čak i manje softverske kompanije usmjeriti ka praksama „bezbjedno po dizajnu i podrazumijevano“, bez potrebe za neposrednim regulatornim mjerama.
Ovaj pristup odražava često kritikovani američki „Secure by Design“ zavjet, sedmotačkastu obavezu koju je potpisalo više od 250 američkih tehnoloških kompanija. I taj zavjet, kojim upravlja CISA, takođe je dobrovoljan i bez federalnog mehanizma za sankcionisanje neusklađenih dobavljača.
Ako je istorija vodič, britanski Kodeks prakse bi u budućnosti mogao prerasti u obavezna pravila. Tako je, na primjer, dobrovoljni kodeks za bezbjednost potrošačkog IoT-a iz 2018. godine doveo do donošenja Zakona o bezbjednosti proizvoda i telekomunikacione infrastrukture, koji zabranjuje prodaju pametnih uređaja sa univerzalnim podrazumijevanim lozinkama i slabim kanalima za prijavljivanje ranjivosti u UK.
Za sada, strategija se oslanja na jasne smjernice, pritisak u procesima javnih nabavki i predstojeću oznaku sertifikacije kako bi se dobavljači podstakli da usvoje 14 principa – od praćenja SBOM-a i bezbjednih razvojnih linija do obavještenja o prestanku podrške godinu unaprijed.
U praktičnom smislu, to znači da će dobavljači softvera koji ciljaju britanske klijente uskoro morati da odgovaraju na konkretna pitanja o tačnosti SBOM-a, evidencijama iz razvojnih linija i brzini isporuke bezbjednosnih ažuriranja.
„Principi koji čine Kodeks prakse su relevantni za bilo koji tip softvera koji se isporučuje poslovnim korisnicima“, navodi NCSC u saopštenju. „[Kodeks] je dizajniran da bude komplementaran relevantnim međunarodnim pristupima i postojećim standardima u ovoj oblasti, kako bi se smanjio teret usklađivanja za organizacije koje posluju preko granica.“
Ova nova inicijativa dolazi nakon apela šefa sajber bezbjednosti u JPMorgan Chase-u, Pata Opeta, koji je pozvao proizvođače softvera da kao hitan prioritet stave bezbjednost ispred funkcionalnosti.
„Žestoka konkurencija među softverskim dobavljačima dovela je do toga da se prioritet daje brzom razvoju funkcija nauštrb robusne bezbjednosti. To često rezultira ubrzanim izdanjima proizvoda bez sveobuhvatne bezbjednosti koja je ugrađena ili podrazumijevano omogućena, stvarajući stalne prilike za napadače da iskoriste ranjivosti“, upozorio je Opet.
„Trka za tržišnim udjelom na račun bezbjednosti izlaže cijele ekosisteme korisnika značajnim rizicima i dovešće do neodržive situacije za ekonomski sistem“, dodao je.
Izvor: SecurityWeek
