«Хватит винить пользователей в кибератаках» – громкое заявление главы CISA
Джен Истерли назвала истинные причины посредственной кибербезопасности.
Разработчики программного обеспечения, выпускающие продукты с уязвимостями, являются настоящими виновниками всех кибератак. По крайней мере, так заявила Джен Истерли, глава Агентства по кибербезопасности и инфраструктурной безопасности США (CISA), на недавней конференции mWise.
Истерли призвала технологические компании прекратить выпускать код с дефектами, открывающими путь для киберпреступников. Она подчеркнула, что именно поставщики технологий создают проблемы, которыми злоумышленники успешно пользуются для атак на своих жертв.
Также она отметила, что недостатки в безопасности программ следует называть не «уязвимостями», а «дефектами продукта», что более точно отражает ответственность разработчиков. По её мнению, индустрия должна перестать перекладывать вину на пользователей, которые не успевают своевременно устанавливать обновления, и начать требовать от разработчиков более качественные продукты, не требующие постоянных «критически важных патчей».
Истерли обратила внимание на то, что несмотря на миллиарды, вложенные в кибербезопасность, основная проблема кроется в низком качестве программного обеспечения. Она сравнила ситуацию с автомобилями и самолётами, которые никто не купил бы, если бы их использование было «на собственный страх и риск», как это часто бывает с программным обеспечением.
Выступая ранее на конференции RSA, Истерли заявляла, что надёжный код — единственный способ сделать кибератаки редкостью. На конференции mWise она повторила, что индустрия кибербезопасности должна сосредоточиться на создании защищённых продуктов, а не на увеличении количества средств защиты.
Сейчас к инициативе CISA «Secure by Design», которая предполагает обязательства компаний по улучшению безопасности продуктов, присоединилось около 200 крупных игроков рынка, включая Amazon, Microsoft и Google. Однако Истерли подчеркнула, что пока это лишь добровольное обязательство, и призвала заказчиков использовать свою покупательную силу, чтобы требовать от поставщиков выполнения этих стандартов.
В завершение, глава CISA призвала организации активнее влиять на ситуацию, задавая правильные вопросы поставщикам и требуя большего внимания к безопасности на всех этапах разработки программного обеспечения.