מתקפות הסייבר האחרונות על SolarWinds, מיקרוסופט ו־Colonial Pipeline חשפו את הפגיעויות בשרשרת האספקה של התוכנה, בה האקרים יכולים לנצל ספקי צד שלישי וספקי שירות כדי לפגוע במערכות ובנתונים של לקוחותיהם. כדי להתמודד עם איום גובר זה, הממשל האמריקאי ותעשיית הטכנולוגיה השיקו יוזמה חדשה לשיפור האבטחה והשקיפות של תהליך פיתוח התוכנה.
היוזמה, המכונה "ניהול סיכוני אבטחת סייבר בשרשרת האספקה" (C-SCRM Pledge), הוכרזה בחודש מאי על ידי ממשל ביידן והמכון הלאומי לתקנים וטכנולוגיה (NIST). היא קוראת לחברות תוכנה להתחייב מרצון לסטנדרטים לאבטחת מוצרי ושירות התוכנה שלהן, כגון שימוש בכלי פיתוח קוד מאובטחים (secure code development tools), ביצוע ביקורות שוטפות והערכות פגיעות, וחשיפת כל פרצות או אירועים ללקוחות ולרשויות. מטרת היוזמה היא להעביר את נטל אבטחת הסייבר מהמשתמשים אל הספקים.
יותר מ־30 חברות כבר חתמו על ההתחייבות, שמטרתה ליצור רף בסיסי לציפיות אבטחה ואמון בתחום מערכות התוכנה. ההתחייבות תואמת גם את הצו הנשיאותי שהוציא הנשיא ביידן במאי, המחייב סוכנויות פדרליות לאמץ אמצעי אבטחת סייבר ותקנים מחמירים יותר לרכש ושימוש בתוכנה שלהן.
עם זאת, היעילות של ההתחייבות הוולונטרית טרם התבררה. חברות שהתחייבו יבצעו הערכה עצמית ודיווח עצמי ולפיכך רק הזמן יגיד אם הן יישמו את האמצעים בצורה יעילה ואם ההתחייבות הוכיחה את עצמה כמנגנון יעיל. הציפייה של הממשל היא שהלקוחות ילחצו על הספקים לחתום על ההתחייבות ולפעול על פיה.
אם ברצונכם ללמוד עוד על C-SCRM Pledge וכיצד לאבטח את שרשרת האספקה של התוכנה שלכם, אתם יכולים לבקר באתר האינטרנט של NIST או ליצור איתנו קשר אנו יכולים לעזור לכם להעריך את ספקי התוכנה והשירותים הנוכחיים שלך, לזהות ולצמצם סיכונים, וליישם את מיטב הפרקטיקות והסטנדרטים בפיתוח ופריסה של התוכנה שלך. אל תיתנו לשרשרת האספקה של התוכנה להפוך לחוליה חלשה באסטרטגיית אבטחת הסייבר שלכם.
ראו גם כאן: https://www.wired.com/story/cisa-cybersecurity-pledge/
מעוניינים בתובנות נוספות להקטנת סיכונים ועמידה בחוקים ותקנות?
לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.
