Белый дом: мы терпели 35 лет! Пришло время разобраться со всеми уязвимостями
Регуляторы уверены: никаких проблем не будет, если подходить к разработке чуть серьезнее.
Администрация Байдена продолжает оказывать давление на IT-индустрию, требуя изменить подход к разработке ПО. Регуляторы обеспокоены тем, что с течением времени проблема уязвимостей в программных продуктах так и не решилась. А значит, чтобы не допускать взломов и утечек, стоит выпускать решения, которые будут безопасными изначально.
В понедельник Национальное управление кибербезопасности США выступило с призывом к более широкому использованию языков программирования с защищенной памятью. Такое явление как уязвимости в системах защиты появилось еще в 1980-х годах из-за ошибок в управлении памятью и до сих пор остаются причиной крупнейших инцидентов.
"Чтобы существенно уменьшить возможности для кибератак, необходимо ликвидировать целые классы уязвимостей путем внедрения безопасных системных решений", - заявил национальный кибердиректор Гарри Коукер, представляя новый технический отчет для отрасли.
Отчет получил поддержку руководителей крупных IT-компаний, включая SAP, Hewlett Packard Enterprise и Honeywell. По мнению Белого дома, документ "переносит ответственность за кибербезопасность с отдельных пользователей и небольших компаний на крупные организации, которые способны эффективно противостоять постоянно меняющимся угрозам.
В отчете упоминаются C и C++ как примеры популярных, но небезопасных языков. Рекомендуемая замена - Rust, Python и Java. Белый дом рекомендует топ-менеджерам компаний, а не только инженерам, уделять приоритетное внимание этому вопросу.
Полный переход на безопасные языки может занять десятилетия и потребует значительных усилий, однако те, кто примет меры, точно останутся в выигрыше. Трудность перехода объясняет, почему 35 лет злоумышленникам постоянно удавалось находить лазейки в системах защиты. Но сейчас наши технические возможности очевидно продвинулись на несколько уровней вперед.
Опубликованный Белым домом отчет - очередной шаг в реализации подписанного Байденом указа по кибербезопасности и недавно представленной национальной стратегии в этой сфере.
Другие государственные органы США, включая Агентство национальной безопасности (АНБ), также призывают технологические компании учитывать вопросы безопасности на самых ранних этапах. В частности, агентство CISA запустило инициативу Secure by Design ("Безопасный с момента проектирования"), направленную на внедрение принципов безопасной разработки ПО.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!