«Хватит винить пользователей в кибератаках» – громкое заявление главы CISA

Джен Истерли назвала истинные причины посредственной кибербезопасности.


8qclsnu7xoutsdpnwlobr110iwu5g3u1.jpg


Разработчики программного обеспечения, выпускающие продукты с уязвимостями, являются настоящими виновниками всех кибератак. По крайней мере, так заявила Джен Истерли, глава Агентства по кибербезопасности и инфраструктурной безопасности США ( CISA ), на недавней конференции mWise.

Истерли призвала технологические компании прекратить выпускать код с дефектами, открывающими путь для киберпреступников. Она подчеркнула, что именно поставщики технологий создают проблемы, которыми злоумышленники успешно пользуются для атак на своих жертв.

Также она отметила, что недостатки в безопасности программ следует называть не «уязвимостями», а «дефектами продукта», что более точно отражает ответственность разработчиков. По её мнению, индустрия должна перестать перекладывать вину на пользователей, которые не успевают своевременно устанавливать обновления, и начать требовать от разработчиков более качественные продукты, не требующие постоянных «критически важных патчей».

Истерли обратила внимание на то, что несмотря на миллиарды, вложенные в кибербезопасность, основная проблема кроется в низком качестве программного обеспечения. Она сравнила ситуацию с автомобилями и самолётами, которые никто не купил бы, если бы их использование было «на собственный страх и риск», как это часто бывает с программным обеспечением.

Выступая ранее на конференции RSA, Истерли заявляла, что надёжный код — единственный способ сделать кибератаки редкостью. На конференции mWise она повторила, что индустрия кибербезопасности должна сосредоточиться на создании защищённых продуктов, а не на увеличении количества средств защиты.

Сейчас к инициативе CISA «Secure by Design» , которая предполагает обязательства компаний по улучшению безопасности продуктов, присоединилось около 200 крупных игроков рынка, включая Amazon, Microsoft и Google. Однако Истерли подчеркнула, что пока это лишь добровольное обязательство, и призвала заказчиков использовать свою покупательную силу, чтобы требовать от поставщиков выполнения этих стандартов.

В завершение, глава CISA призвала организации активнее влиять на ситуацию, задавая правильные вопросы поставщикам и требуя большего внимания к безопасности на всех этапах разработки программного обеспечения.