تؤدي الإخفاقات في سوق التكنولوجيا إلى إثارة المناقشات في الحكومة حول ما إذا كانت المملكة المتحدة ستحتاج في نهاية المطاف إلى سن تشريع لإجبار موردي تكنولوجيا المعلومات على تأمين منتجاتهم.
يعتقد مستشارو السياسات أن التشريع قد يكون هو السبيل الوحيد لإقناع موردي البرامج والأجهزة بأن الأمر يستحق وقتهم لتطوير منتجات مرنة في مواجهة الهجمات السيبرانية.
وقد يؤدي هذا إلى اتباع المملكة المتحدة خطى الولايات المتحدة، التي تقترح جعل موردي البرامج مسؤولين قانونيًا إذا قدموا منتجات وخدمات غير آمنة كجزء من برنامجها. الاستراتيجية الوطنية للأمن السيبراني.
وكانت المشكلة ممارسة أولي وايتهاوس، كبير مسؤولي التكنولوجيا في المركز الوطني للأمن السيبراني (NCSC)، وهو جزء من وكالة استخبارات الإشارات GCHQ.
وقال في مؤتمر في برمنجهام هذا الأسبوع إن السوق يفشل في تحفيز موردي التكنولوجيا على إنفاق الوقت والمال والجهد لضمان خلو برامجهم من الثغرات الأمنية.
ووصف وايتهاوس التحدي بأنه “مشكلة سوق” في إنتاج مستوى التكنولوجيا المرنة السيبرانية التي نريدها ونحتاجها، مضيفًا: “علينا أن نسأل أنفسنا، لماذا لا يتم تحقيق ذلك على أرض الواقع؟”
السبب ليس نقص القدرة التقنية. يعرف موردو البرامج كيفية بناء تكنولوجيا مرنة عبر الإنترنت. خذ شيري مشروع بحثي، على سبيل المثال، أثبت أنه من الممكن احتواء الهجمات السيبرانية في أجزاء معزولة في ذاكرة الكمبيوتر لمنع انتشارها عبر شبكات الكمبيوتر. كما أنها جعلت من الممكن أخذ تعليمات برمجية مليئة بالأخطاء وجعلها تعمل بطريقة آمنة.
ولكن حتى بدون برامج متقدمة مثل هذه، يرى وايتهاوس أن الموردين يفشلون في الحصول على الأساسيات الصحيحة. وارتفع عدد الثغرات الأمنية الجديدة المسجلة بين عامي 2022 و2023 إلى أكثر من 40 ألفاً، أي بزيادة قدرها 14%. وأضاف: “وهؤلاء هم الذين نعرفهم… وتم الكشف عنهم بشكل مسؤول”.
“نحن نعلم أن هناك العديد من الخصوم الذين يقومون بتخزين نقاط الضعف. وهذا نمو مركب». “وبالمثل، فإن الفعالية الأمنية للحلول لا تتحقق في الممارسة العملية – سواء الحل بمعزل أو في العمليات. وقال: “لدينا ادعاءات لا تلبي الواقع”.
سوق البرمجيات والمنتجات الأمنية تحركه القيمة والتكلفة، وهو ما يسميه وايتهاوس “عدو الأمن السيبراني”. وحتى المديرون في مجالس الإدارة يشعرون “بالإرهاق السيبراني”، ويفضلون برامج مدتها ثلاث سنوات على الاستثمار طويل الأجل.
وقال متحدثا في مؤتمر الأمن السيبراني في المملكة المتحدة: “علينا أن نسأل أنفسنا ما هي الحوافز عندما نواجه خطرا تقنيا للغاية، ومعقدا بشكل متزايد، ومتطورا باستمرار، والأهم من ذلك، مكلفا”.
“نحن نعلم أن هناك العديد من الخصوم الذين يقومون بتخزين نقاط الضعف. وبالمثل، فإن الفعالية الأمنية للحلول لا تتحقق في الممارسة العملية. لدينا ادعاءات لا تطابق الواقع”
أولي وايتهاوس، NCSC
يتم استخدام المنتجات الأمنية اليوم والتي تحتوي على فئات من الثغرات الأمنية المعروفة منذ عقود. ويكمن جزء من المشكلة في أن المستثمرين اشتروا شركات التكنولوجيا واستمروا في بيع تكنولوجيا عمرها 15 عاما دون الاستثمار في تحديثها.
هناك إصلاحات قصيرة المدى، مثل NCSC برنامج الدفاع السيبراني النشط، أيّ، من بين الخدمات الأخرى، يوفر بيانات حول مواقع الويب الضارة لمقدمي خدمات الإنترنت ومقدمي الخدمات المُدارة وشركات الهاتف وشركات الخدمات المالية، مما يسمح لهم بحظر الروابط الضارة تلقائيًا.
ويقول الباحثون إن العمل الأكاديمي جار أيضًا لتطوير طرق لقياس مدى أمان البرامج. وهذا من شأنه أن يتيح لمستخدمي البرمجيات في المستقبل أن يكون لديهم فهم أفضل للمخاطر التي يتعرضون لها.
واقترح وايتهاوس أن الهدف على المدى الطويل هو تغيير ديناميكيات سوق الأوراق المالية. وهذا يعني الشفافية بشأن تكلفة البرامج وقياس فعاليتها وقياسها قياس الديون الفنية – التكلفة المستقبلية للفشل في إصلاح الأخطاء – وتسجيلها في الميزانية العمومية.
وقال إنه بعد ذلك يجب فرض غرامات على الإهمال إذا باعت شركات البرمجيات برامج غير آمنة. وهذا يعني تغييراً جذرياً في النظام الحالي، الذي يسمح لشركات البرمجيات بالتعاقد مع نفسها بعيداً عن المسؤولية عن الأضرار الناجمة عن استغلال المهاجمين السيبرانيين لنقاط الضعف في برامجهم.
مثل هذه الأفكار تم اقتراحه بالفعل في الولايات المتحدة. إدارة بايدن الاستراتيجية الوطنية للأمن السيبراني، الذي تم نشره في مارس 2024، يتصور مستقبلًا حيث سيتم مساءلة موردي البرامج والناشرين إذا أطلقوا منتجات بها ثغرات أمنية كبيرة.
تنص وثيقة الإستراتيجية على أن “عددًا كبيرًا جدًا من البائعين يتجاهلون أفضل الممارسات للتطوير الآمن، ويشحنون المنتجات ذات التكوينات الافتراضية غير الآمنة أو نقاط الضعف المعروفة، ويدمجون برامج الطرف الثالث ذات المصدر غير المدقق أو غير المعروف”.
وتقول: “يستطيع صانعو البرمجيات الاستفادة من وضعهم في السوق للتنصل الكامل من المسؤولية بموجب العقد، مما يقلل بشكل أكبر من حافزهم لاتباع مبادئ التصميم الآمن أو إجراء اختبار ما قبل الإصدار”.
وتدعو الإستراتيجية الأمريكية إلى تحويل المسؤولية تجاه المنظمات التي تفشل في اتخاذ الاحتياطات المعقولة لتأمين برامجها، مع الاعتراف أيضًا بأنه حتى برامج أمان البرامج الأكثر تقدمًا لا يمكنها منع نقاط الضعف.
وبموجب الخطة، سيعمل الكونجرس الأمريكي مع القطاع الخاص لتطوير تشريعات لإنشاء المسؤولية عن منتجات وخدمات البرمجيات. وسوف تهدف إلى منع موردي البرمجيات من استخدام قوتهم في السوق لإنفاذ العقود التي تستبعدهم من المسؤولية عن سوء تصميم البرمجيات. ويعني ذلك أيضًا أنه سيتعين على شركات البرمجيات إظهار المزيد من العناية الواجبة عند استخدام البرامج في التطبيقات عالية المخاطر.
ويتفق المستشارون الأمنيون على أن حكومة المملكة المتحدة لا تملك القوة المالية اللازمة لإقناع موردي تكنولوجيا المعلومات بقبول العقود التي تعرضهم للمسؤولية عن الإخفاقات الأمنية.
وتُظهر الأبحاث الأكاديمية أنه على الرغم من استعداد الشركات والأفراد لدفع المزيد مقابل برامج أكثر أمانًا، إلا أن هناك حدًا للمبلغ الذي سيدفعونه.
كل هذا يعني أنه إذا كان للسوق أن يتم إصلاحه بالطريقة التي يقترحها وايتهاوس، فمن المرجح أن تضطر المملكة المتحدة إلى اتباع المسار الأمريكي في تقديم التشريعات التي تجعل موردي تكنولوجيا المعلومات مسؤولين ماليا إذا فشلوا في إيلاء القدر الكافي من الاهتمام للأمن في منتجاتهم.
لن تكون سريعة. وربما يكون مثل هذا التغيير على بعد عقد من الزمان على الأقل، ومن المرجح أن يثير معارضة جدية من موردي البرمجيات، ولكن يبدو أن اتجاه السفر قد تم تحديده.
