Wychodzący szef CISA Jen Easterly Niedawno porównał bezpieczny rozwój oprogramowania do bezpieczeństwa samochodowegoargumentując, że byliśmy w punkcie przegięcia podobnym do 1965 roku, kiedy Ralph Nader opublikował książkę Niebezpieczne przy dowolnej prędkości. Książka pobudziła publiczne oburzenie bezpieczeństwem drogowym, co pomogło wspierać powszechne przyjęcie innowacyjnych środków bezpieczeństwa pojazdów.
Po przeczytaniu postów Jen na ten temat pozostaje otwarte pytanie: czy naprawdę możemy wykorzystać oburzenie przed niepewnym ryzykiem oprogramowania, aby zwiększyć znaczącą zmianę? Zobaczmy, czy możemy obiektywnie zobaczyć to pytanie i ustalić, co musi się wydarzyć w 2025 r. Wraz z ciągłą presją publiczną. W przypadku kupujących oprogramowanie CISO i IT, oprócz codziennej poprawy, domagając się bezpiecznego oprogramowania, a Twoi dostawcy zobowiązują się do zabezpieczenia zasad projektowania, na co powinieneś skupić się w 2025 roku, aby pomóc w przeniesieniu igły?
Pokaż mi zachętę, a pokażę ci wynik
Widoczne jest porównanie ryzyka samochodowego w latach 60. i ryzyka oprogramowania w epoce współczesnej. Innowacje szybkiego technologii spowodowały, że niebezpieczne produkty są codzienne. Świat oprogramowania, podobnie jak przemysł motoryzacyjny w latach 60., priorytetem jest szybkość wydania, funkcji oraz przekracza granice i granice bezpiecznego użytkowania, wszystko w imię sprzedaży większej liczby produktów i innowacyjnych nowych ofert szybciej niż konkurenci. Deweloperzy oprogramowania stoją przed ciągłą presją, aby wydać produkty tak szybko, jak to możliwe, często kosztem bezpieczeństwa kodu. Bezpieczeństwo jest postrzegane jako spowolnienie cyklu rozwoju i jest często przykręcone po fakcie.
Cytując wielką Charlie Munger„Pokaż mi zachętę, a pokażę ci wynik”. Twórcy oprogramowania nie piszą bezpiecznego kodu, ponieważ nie mają do tego zachęty. Co gorsza, firmy, dla których pracują, mają bardzo niewielką motywację do skupienia się na bezpieczeństwie swoich produktów. IT i nabywcy CISO kupują niepewny kod tak długo, jak istniał kod.
Przemysł motoryzacyjny miał podobny problem – samochody zakupione do tego momentu nie zostały zakupione, ponieważ były bezpieczne. Ludzie nie chodzili do dealerów samochodowych (czy mieli dealers w latach 60. Kupili pojazdy na podstawie wyglądu, stylu, maksymalnej prędkości i przyspieszenia, a co najważniejsze, radości, jaką otrzymali podczas obsługi nowego trybu transportu. Bezpieczeństwo nie było wymaganą cechą i dlatego było refleksją. Jest to prawie identyczne z tym, jak zbudowaliśmy i kupiliśmy oprogramowanie. Priorytetowo traktujemy i kupujemy na podstawie wartości, którą otrzymujemy z oprogramowania, z niewielkim lub żadnym zainteresowaniem tym, jak bezpieczne jest.
Nie ma motywacji do priorytetu bezpieczeństwa, gdy nie tego wymagają kupujący. Przemysł motoryzacyjny wymagał rozpoznawania problemu przez konsumentów, co spowodowało oburzenie dla lepszych standardów bezpieczeństwa, zanim producenci samochodów „marnują swój czas” na funkcje bezpieczeństwa produktów.
Nie zobaczymy momentu „niebezpiecznego przy prędkości oprogramowania” w 2025 roku
Branża oprogramowania nie nauczyła się z przeszłości branży samochodowej z kilku kluczowych powodów. Przede wszystkim, kiedy zaczniesz wypadek samochodowy, istnieje nietrywialna szansa na utratę życia. Ludzie umierają, gdy w ich samochodach nie ma żadnych funkcji bezpieczeństwa, a nawet niewielka liczba zgonów jest nie do przyjęcia dla społeczeństwa. Konsekwencje wypadku pojazdu silnikowego były natychmiastowe i trzewne i pozostawiły trwałe wrażenie w umysłach tych, którzy byli w jednym lub widzieli. Oprogramowanie jest inne. Na przykład, gdy oprogramowanie w telewizji pęka, po prostu go ponownie uruchomisz.
Do niedawna, w najgorszym przypadku, zdecydowana większość wad oprogramowania spowodowała kompromis jakiegoś anonimowego jednostki korporacyjnej z niewielkim lub żadnym łożyskiem na populacji. Jasne, może istnieć bardzo niewielka szansa, że ich konta zostaną naruszone, pieniądze bezpośrednio im skradzione lub popełnione przez nich oszustwa, ale większość świata konsumenckiego uważa, że „to się nie stanie” i zgodnie z prawem prawa Duże liczby, prawdopodobnie mają rację. A jeśli tak, są ubezpieczeni, są objęci stratą, a przez większość czasu cierpią z powodu konieczności przeskakiwania przez wiele obręczy, aby odzyskać to, co stracili.
Ze względu na to, że Laissez-Faire podejście do ryzyka znacznie łatwiej jest zignorować problem, pisząc go jako koszt prowadzenia działalności. Innymi słowy, nie ma zapotrzebowania na zmiany.
Oprócz różnicy w ryzyku między samochodami a lukami w zakresie oprogramowania złożoność krajobrazu oprogramowania złożoność samochodu w latach 60. XX wieku. Gdybyśmy mogli szybko zaimplementować procesy czterech do sześciu oprogramowania i naprawić cały globalny rejestr ryzyka oprogramowania, obiecuję, że tak. Problem jest o wiele bardziej złożony i trudny do ustalenia niż 10 dużych producentów samochodów z lat 60. musiało wymyślić. Gdyby dziś istniało tylko 10 firm programistycznych, łatwiej byłoby nakazać zmianę.
Jednak oprogramowanie jest dosłownie we wszystkim, czego dotykamy. Od urządzeń IoT po urządzenia domowe po zabawki dla dzieci – oprogramowanie zjadło świat, dzięki czemu zapewnienie tego oprogramowania jest znacznie trudniejszym zadaniem. Budowniczowie samochodów musieli wprowadzić kilka zmian w swoich produktach i byli gotowi do sprzedaży. Nie musieli zmieniać całego świata produkcyjnego dla każdego produktu dostępnego dla społeczeństwa, aby dążyć do bezpieczeństwa. Tutaj jest krótkie porównanie.
SBD i pchanie, aby zabezpieczyć nasze oprogramowanie
Ten niesamowity poziom złożoności nasuwa pytanie, kto jest odpowiedzialny za rozwiązanie problemu. W maju 2024 r. Dostawcy oprogramowania było poważne, aby podpisać zobowiązanie „Secure by Design (SBD)”. Obecnie ponad 250 firm zobowiązało się do przestrzegania Bezpieczeństwa zgodnie z zasadami projektowymi i upewnieniem się, że ich oprogramowanie jest tworzone ze standardami bezpieczeństwa na każdym etapie procesu rozwoju.
Uwielbiam Secure by Design Pledge, ale 250 firm to kropla w wiadrze; według Cyberdb Istnieje sama ponad 3500 firm zajmujących się bezpieczeństwem cybernetycznym. To tylko firmy, które pracują nad zabezpieczeniem naszego codziennego życia. 250 podpisów to zwykłe uderzenie w porównaniu z liczbą firm w Stanach Zjednoczonych. Niektóre badania roszcza ponad 33 miliony firm W samych 2024 roku w samych Stanach Zjednoczonych, z których większość to małe firmy. Trudnym problemem jest dotarcie do punktu zwrotnego wymaganego dla firm w USA i świata, aby uświadomić sobie, że ryzyko jest zbyt wysokie i zmienia się popyt ze strony dostawców oprogramowania.
Badania z University of Pennsylvania w Annenberg School for Communication oraz School of Engineering and Applied Science Pokazuje, że około 25% populacji jest wymagane, aby trafić w punkt zwrotny w celu zmiany społecznej na dużą skalę. Nie jesteśmy nawet blisko.
Myślę, że powinniśmy myśleć, nie jest to, jak lepiej lub szybciej naprawiamy problemy bezpieczeństwa kodu, ale zamiast tego, jak dojdziemy do punktu zwrotnego, w którym zmienia się struktura motywacyjna i oprogramowanie świata zaczyna się naprawić. Jeśli pomyślamy o tym w ten sposób, szybko zobaczymy, że zmiana nastąpi tylko wtedy, gdy zostanie wdrożona powłoka popytu nabywców i przepisów rządowych.
Naprawienie bezpiecznego kodu jako ruch w 2025 r.
Biorąc pod uwagę negatywne perspektywy i złagodzone oczekiwania, które przedstawiłem, prawdopodobnie żałujesz przeczytania tego artykułu. Chciałbym, żebyś odszedł z przeciwnym pomysłem w mózgu i być może zbliżył się do 2025 r. Jako rok, w którym branża oprogramowania może bezpiecznie zbliżyć się do punktu zwrotnego do budowania oprogramowania.
Podobne do kwestii omawianych w Niebezpieczne przy dowolnej prędkościfirmy, które piszą oprogramowanie dowolnego rodzaju, będą nadal odpychać się własnością problemu i będą próbować odchylić lub zignorować odpowiedzialność za wszelkie pojawiające się problemy związane z bezpieczeństwem i bezpieczeństwem. Ponieważ oprogramowanie jest coraz częściej używane w sytuacjach życiowych i śmierci, takich jak opieka zdrowotna, motoryzacyjna, komunikacja awaryjna itp. Zapotrzebowanie biznesowe i kupującego na mniejsze ryzyko wzrośnie.
Jeśli będziemy wystarczająco głośni, w pewnym momencie odpowiedzialność za oprogramowanie zmieni się na tych, którzy budują produkt, a kiedy to zrobi, struktury motywacyjne się zmieni, a firmy zwrócą znacznie większą uwagę na ryzyko dla własnej firmy. Niestety, nie sądzę, abyśmy kiedykolwiek dojdzieli do punktu, w którym firmy wystarczająco dbają o bezpieczeństwo kodu, aby go ustalić tylko dlatego, że jest to właściwe dla swoich klientów. Zamiast tego, aby osiągnąć nasze cele, musimy upoważnić do zdrowia i sukcesu ich firmy, aby pisać bezpieczniejszy kod, a jedynym sposobem na to jest bycie bardzo głośnym i zmiana popytu.
Co możesz zrobić jako CISO i nabywca oprogramowania IT w 2025 r., Aby pomóc w poruszaniu igły i wzroście w kierunku bezpiecznego punktu zwrotnego kodu? Przede wszystkim potrzebujemy każdego z was, aby wykształcić się z ryzyka wad oprogramowania i pomóc w wyrażaniu tych problemów dla twórców zakupionego lub licencji oprogramowania. Użytkownicy i programiści muszą być bardziej świadomi znaczenia bezpieczeństwa i potencjalnych konsekwencji luk w zabezpieczeniach oprogramowania zarówno dla firmy, która sprzedaje oprogramowanie, jak i osoby, które z niego korzystają.
Po drugie, i prawdopodobnie bardziej krytyczne, musisz zmusić przedstawicieli rządu i agencji do większego wykształcenia na ten temat i zbudować silniejsze przepisy i standardy dotyczące bezpiecznego tworzenia oprogramowania. Samochód nigdy nie stałby się bardziej bezpieczny, gdyby agencje rządowe nie wprowadziły i wprowadziły przepisów i standardów, które wymagały, aby pojazdy silnikowe miały co najmniej minimalny poziom bezpieczeństwa. Musimy mieć przepisy w świecie oprogramowania, które kładą punkt zwrotny w zasięgu, i to od kupujących i użytkowników oprogramowania, aby popchnąć rząd na tym froncie. Odpowiedzialność musi wrócić do konstruktora, co dzieje się tylko wtedy, gdy rząd się zaangażuje. Zajmie to armię, ale jeśli z czasem krzyczymy i krzyczymy wystarczająco głośno, kupuj tylko oprogramowanie, które jest bezpiecznie napisane i zrobimy wystarczająco znaczący poziom hałasu, możemy nadal powoli maszerować w kierunku poprawy.
Powolny marsz „zabezpieczający przy wszystkich prędkościach”
Tak samo jak Niebezpieczne przy dowolnej prędkości Było budzeniem dla przemysłu motoryzacyjnego, rosnącej świadomości problemów związanych z bezpieczeństwem oprogramowania i wpływem luk na bezpieczeństwo ludzkie i zdrowie budzi presję na podobne liczenia w świecie oprogramowania. Musimy iść w kierunku Zabezpieczyć przy Wszystko Prędkości Świat rozwoju oprogramowania.
Nie sądzę, że zobaczymy trafienie punktu zwrotnego w 2025 r., Ale każdy z nas musi podejść do tej zmiany za pomocą jednolitego krzyku rajdowego, aby zbudować objętość wymaganą do usłyszenia na najwyższych poziomach. Dziękuję, Jen Easterly i zespół CISA, za pracę naziemną, którą wykonałeś w kierunku tego ruchu, i mam nadzieję, że 2025 to rok, w którym będziemy współpracować, aby podejmować codzienne kroki w kierunku sukcesu.