Pentru că avem un parteneriat solid cu Lenovo, ne-am bucurat să auzim că la începutul lunii iunie producătorul a anunțat, că își asumă angajamentul Secure by Design. Este un prilej excelent pentru a înțelege mai bine această inițiativă, care promite să devină, în timp, o adevărată certificare a securității. Cum? Prin integrarea măsurilor de securitate cibernetică în fiecare etapă a procesului de proiectare și dezvoltare a unui produs.
Tradițional, producătorii s-au concentrat pe lansarea rapidă pe piață a soluțiilor și au lăsat responsabilitățile de cybersecurity în sarcina utilizatorului sau în etapa post-comercializare. Această abordare nu a avut rezultate prea bune, așa că CISA (Cybersecurity Infrastructure Security Agency) din SUA a declanșat deja schimbarea și prin programul ”secure by desing” cere ca securitatea cibernetică să devină structurală.
Angajamentul Secure by Design îi responsabilizează pe producătorii de software prin asumarea a șapte obiective, pe care le veți găsi în acest articol.
Secure by Design - securitate inclusă din faza de proiectare
Inițiativa „Secure by Design” (SBD) a fost lansată oficial pe 8 mai 2024, de CISA. Peste 68 de nume mari, printre care și Google, Amazon Web Services, Hewlett Packard Enterprise și IBM, au semnat deja acest angajament voluntar. El vizează, momentan, doar serviciile/produsele de software și cloud.
E util să comparăm ce propune SBD cu ridicarea unei case pe un fundament solid – securitatea devine temelia pe care întreaga structură este construită. Pe de o parte, Secure by Design promovează integrarea măsurilor de securitate cibernetică încă din faza de proiectare a produselor/serviciilor software. Apoi, SBD priorizează securitatea utilizatorilor drept cerință de bază pentru producători, în loc să o trateze doar ca pe un proces tehnic secundar.
Prin implementarea principiilor Secure by Design încă din fazele de proiectare și dezvoltare, sunt reduse semnificativ vulnerabilitățile exploatabile, înainte de introduce pe piață produsele. Companiile care și-au asumat acest angajament își propun deci să creeze produse sigure din start, care au out-of-the-box funcționalități suplimentare de securitate, precum autentificarea multifactor (MFA) sau Single Sign-on (SSO), disponibile fără costuri suplimentare.
Cele șapte obiective ale angajamentului
CISA îi sfătuiește pe producătorii de software să deruleze o evaluare a riscurilor pentru a identifica amenințările cibernetice predominante la adresa sistemelor critice, pentru ca ulterior să integreze mecanisme de protecție în viitoarele proiectări de produse. Aceste mecanisme trebuie să țină seama de evoluția amenințărilor cibernetice.
Ca linii directoare, agenția americană oferă câteva obiective pentru următoarele 12 luni:
#1 Într-un an de la semnarea angajamentului, producătorii trebuie să demonstreze acțiuni concrete pentru a crește utilizarea autentificării multifactor (MFA) în produsele lor. Printre altele, vom vedea: cum activarea MFA devine obligatorie pentru utilizatori și administratori de la prima înregistrare, alarme de tipul „centură de siguranță” care îi vor determina pe utilizatori să activeze MFA sau suport pentru SSO.
#2 Eliminarea parolelor default prin înlocuirea lor cu parole inițiale aleatorii și unice. Producătorii pot solicita utilizatorului care instalează produsul să creeze o parolă puternică la începutul procesului de instalare, pot oferi parole de configurare cu limită de timp, care se dezactivează când procesul de instalare este complet etc.
#3 Reducerea măsurabilă a vulnerabilităților prin: aplicarea coerentă a interogărilor parametrizate pentru a preveni atacurile SQL Injection, adoptarea de web template frameworks cu protecție buit-in împotriva vulnerabilităților de tip cross-site scripting sau prin tranziția către limbaje de programare memory safe.
#4 Creșterea numărului de patch-uri de securitate instalate de utilizatori. Se dorește și instalarea automată a patch-urilor de software și activarea acestei funcționalități implicit, atunci când e posibil. În cazul produselor ajunse la sfârșitul ciclului de viață, care nu mai suportă patch-uri, trebuie să se comunice clar durata de viață a produsului în momentul vânzării. Pentru produsele cloud/SaaS aplicarea de patch-uri nu va fi lăsată în sarcina clienților.
#5 Publicarea unei Politici de Divulgare a Vulnerabilităților (VDP) care să permită testarea produselor oferite de producător și să ofere un canal clar de raportare a vulnerabilităților.
#6 Transparență în raportarea vulnerabilităților fiecărui produs prin includerea lor în Common Weakness Enumeration (CWE), folosind Common Platform Enumeration (CPE) și Common Vulnerabilities and Exposures (CVE).
#7 Dovezi de intruziune. Producătorii vor lua măsuri pentru a crește capacitatea utilizatorilor de a aduna dovezi despre intruziunile de securitate cibernetică care afectează produsele software, prin punerea la dispoziție a log-urilor legate, de exemplu, de modificările configurației. Furnizorii de servicii cloud/SaaS sunt sfătuiți să păstreze log-urile pentru o perioadă de timp stabilită (jumătate de an), fără costuri suplimentare.
Acestea sunt doar câteva exemple de aplicare a obiectivelor, aflați mai multe informații pe website-ul CISA.
Beneficii cheie ale abordării SBD
O analiză Qualys Threat Research Unit arăta că, în 2023, au fost dezvăluite 26.447 de vulnerabilități de securitate, depășind cu peste 1.000 noile vulnerabilități din 2000. Secure by Design este, deci, o inițiativă foarte necesară. Totuși, adoptarea SBD nu se limitează doar la îmbunătățirea securității cibernetice, ci influențează pozitiv și eficiența operațională, costurile, încrederea clienților și conformitatea cu reglementările.
Inclusiv producătorii pot obține avantaje financiare și de imagine. Investiția inițială în securitate conduce la economii ulterioare și îi va diferenția pe producători într-un mediu competitiv în care securitatea devine o prioritate tot mai mare pentru guverne și consumatori.
Alte beneficii includ reducerea vulnerabilităților și a riscului de exploatare a lor, prevenirea intruziunilor și economii de costuri asociate remedierii ulterioare a problemelor. În același timp, se creează o bază solidă pentru încrederea clienților și pentru conformitatea cu noile reglementări de securitate cibernetică, consolidând astfel reputația și conformitatea în piață.
Felicităm Lenovo și restul companiilor care au semnat deja acest pact și suntem convinși că efectele pe termen lung vor fi benefice.