Evaluarea securității software-ului de consum: ar trebui să urmăm exemplul NHTSA?

Administrația Națională pentru Siguranța Traficului pe Autostrăzi din SUA (NHTSA) îi este dedicată misiune: „pentru a salva vieți, a preveni rănile și a reduce costurile economice din cauza accidentelor rutiere, prin educație, cercetare, standarde de siguranță și aplicarea legii.” Este timpul să creăm o organizație similară dedicată securității software pentru consumatori? Misiunea ar fi destul de similară: să se asigure că software-ul îndeplinește standardele de bază de securitate și siguranță și este ușor de înțeles, implementat și susținut de către consumatori.

Astăzi, mașinile trebuie să îndeplinească un standard de siguranță de bază înainte de a fi autorizate pentru vânzare către public, dar software-ul nu. Cum putem face mai ușor pentru fiecare american să se protejeze pe sine și datele lor de crimele digitale?

Satisfacerea nevoilor de baza de siguranta si securitate

Aplicația Uber pentru Android are peste 10 milioane de linii de cod (la lansare avea doar aproximativ 10,000), aproape la fel de multe ca sistemul de operare tipic pentru smartphone, care are aproximativ 12 milioane de linii de cod. Pe smartphone-uri, există mii de setări disponibile. Multe afectează securitatea și confidențialitatea și sunt configurabile de către utilizatorii finali, ceea ce este important pentru majoritatea utilizatorilor. Din păcate, mulți utilizatori de software și dispozitive nu realizează că trebuie să ia în considerare fiecare dintre aceste configurații cu atenție. Nu numai pentru că configurație greșită le-ar putea expune unor potențiali atacatori, dar și pentru a-i proteja de încercările legitime de a-și folosi datele în moduri care le-ar putea expune mai mult decât își dau seama.

Puține software-uri și dispozitive protejează utilizatorii de a se expune la atacuri sau la accesul excesiv de permisiv la date în mod implicit, făcând consumatorii o marcă ușoară pentru actorii rău intenționați. Pentru a crește securitatea software-ului, caracteristicile de siguranță trebuie să fie implementate în mod implicit, dar utilizatorii trebuie să folosească și acele caracteristici pentru ca acestea să fie eficiente.

Crearea evaluărilor de siguranță

O problemă cu securitatea software-ului de consum este că producătorii de software și dispozitive nu avertizează oamenii despre pericolul de a le folosi cu configurația implicită. Există multe agenții de rating care spun clienților profilul de siguranță al vehiculelor lor. NHTSA oferă evaluări de siguranță a vehiculelor, astfel încât consumatorii să poată alege cele mai sigure vehicule și să învețe cu ușurință despre retrageri. Există, de asemenea, Institutul de Asigurări pentru Siguranța Autostrăzilor (IIHS), o organizație nonprofit independentă care efectuează cercetări și evaluări pentru a educa consumatorii, factorii de decizie și profesioniștii în siguranță. Consumatorii pot folosi informațiile de la aceste organizații pentru a echilibra funcționalitatea pe care o doresc cu funcțiile critice de siguranță. Acest lucru permite consumatorilor să facă o alegere conștientă cu privire la funcționalitate și siguranță atunci când aleg un vehicul.

De înțeles, este o sarcină descurajantă pentru dezvoltatorii de software să efectueze teste software exhaustive pentru a identifica și remedia toate erorile posibile înainte de lansare. Este un proces obositor, complex și predispus la erori. Chiar și așa, a îndemnat Casa Albă îmbunătățirea lanțului de aprovizionare cu software în secțiunea 4 din Ordin executiv privind îmbunătățirea securității cibernetice a națiunii. Deși este o provocare (și poate imposibil) să lansați software fără erori, avertizarea clienților că ar trebui să revizuiască și să modifice setările implicite nu este dificilă.

Acest avertisment ar trebui să vină cu fiecare aplicație software și dispozitiv. În mod ideal, ar trebui să fie mai accesibilă decât o pagină lungă de termeni și condiții, greu de analizat, sau o bucată de hârtie mică, prost tradusă, din cutia dispozitivului. Trebuie să fie ușor de citit și de înțeles dintr-o privire, mai degrabă decât să necesite o lupă, familiaritate cu legislația și multă răbdare.

Pe lângă avertizarea consumatorilor că utilizarea configurației implicite a unei aplicații poate fi riscantă, am putea evolua către un sistem de evaluare care să le permită consumatorilor să știe că ceea ce cumpără este în mod inerent riscant, astfel încât să poată face cu bună știință aceleași compromisuri pe care le fac atunci când selectează un vehicul. De exemplu, un sistem de evaluare ar putea lua în considerare:

• Modul în care un anumit sistem de operare sau aplicație a fost atacat în trecut.
• Numărul de corecții de securitate necesare în timp pentru a face aplicația mai sigură.
• Caracteristicile de securitate din aplicație, cum ar fi criptarea, autentificarea și autorizarea.
• Practicile de confidențialitate ale organizației, inclusiv modul în care colectează și utilizează datele utilizatorilor.

Acest lucru ar putea să îndepărteze utilizatorul de un produs – sau cel puțin să-i sporească gradul de conștientizare a profilului de securitate al acestuia în timp. De exemplu, unii Browsere de internet sunt bine cunoscute ca fiind în mod inerent mai riscante decât altele. Ce se întâmplă dacă au venit cu un rating de securitate în avans? Utilizatorii se pot baza pe această evaluare pentru a decide dacă sunt dispuși să facă un compromis între funcționalitate și securitate.

Rolul consumatorului în securitatea software-ului

Având atât de mult software în mâinile utilizatorilor toată ziua, în fiecare zi, este imperativ ca aceștia să inițieze propria lor evaluare a securității și confidențialității software-ului și dispozitivelor pe care le folosesc. Majoritatea utilizatorilor se concentrează doar pe configurarea caracteristicilor și aplicațiilor care sunt importante pentru ei. În timp ce unele sunt caracteristici importante de utilizare, utilizatorii trebuie, de asemenea, să realizeze că sunt mult mai implicate. Aplicațiile pe care le folosesc interacționează cu setările sistemului de operare, ceea ce poate determina ca aplicația să le expună la un risc mai mare.

Rolul nostru de educatori în domeniul securității și furnizori de software trebuie să fie acela de a îndemna utilizatorii să revizuiască toate setările implicite ale software-ului și dispozitivelor noi și să facă modificări, după caz. Din păcate, aceasta este departe de a fi o sarcină ușoară pentru majoritatea utilizatorilor.

În prezent, există ghiduri disponibile pentru a ajuta utilizatorii să navigheze prin configurarea celor mai importante setări, ceea ce le oferă opțiunea de a decide asupra echilibrului dintre funcționalitate și securitate și confidențialitate. De exemplu, Consumer Reports a publicat „Ghid pentru securitate digitală și confidențialitate” pentru a ajuta consumatorii să rămână în siguranță online, să controleze urmărirea online și să protejeze telefoanele și laptopurile de atacatori. Deși aceste ghiduri sunt utile, mult prea puțini utilizatori le citesc și profită de ele. Un sistem simplu de evaluare a siguranței care se aliniază cu mai larg politici de securitate cibernetică administrația actuală ar putea asigura că consumatorii înțeleg elementele de bază despre cum să se mențină – și software-ul și dispozitivele lor – în siguranță și în siguranță.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/consumer-software-security-assessment-should-we-follow-nhtsas-lead