رئيس CISA المنتهية ولايته Jen Easterly قارن مؤخرًا تطوير البرمجيات الآمنة بسلامة السيارات، بحجة أننا كنا في نقطة انعطاف مشابهة لعام 1965 عندما نشر رالف نادر الكتاب غير آمن في أي سرعة. حفز الكتاب الغضب العام على السلامة على الطرق ، مما ساعد على تعزيز التبني الواسع على نطاق واسع لتدابير سلامة المركبات المبتكرة.
بعد قراءة منشورات Jen حول هذا الموضوع ، يبقى السؤال المفتوح: هل نحن حقًا في مرحلة يمكننا من خلالها استخدام الغضب ضد مخاطر البرمجيات غير الآمنة لدفع تغيير ذي معنى؟ دعونا نرى ما إذا كان بإمكاننا عرض هذا السؤال بموضوعية وتحديد ما يجب أن يحدث في عام 2025 إلى جانب الضغط العام المستمر. بالنسبة لمشتري برنامج CISO وتكنولوجيا المعلومات ، إلى جانب التحسن اليومي ، يطالب البرنامج الذي تشتريه بأمان ، وتعهد البائعون الخاص بك بتأمين مبادئ التصميم ، ما الذي يجب أن تركز عليه في عام 2025 للمساعدة في تحريك الإبرة؟
أرني الحافز ، وسأريكم النتيجة
إن المقارنة بين مخاطر السيارات في الستينيات ومخاطر البرمجيات في العصر الحديث واضحة. أدى ابتكار التكنولوجيا السريعة إلى استخدام منتجات غير آمنة يوميًا. يعطي عالم البرمجيات ، مثل صناعة السيارات في الستينيات ، أولوية سرعة الإصدار والميزات والوظائف ، ودفع حدود وحدود الاستخدام الآمن ، وكل ذلك باسم بيع المزيد من المنتجات وابتكار عروض جديدة أسرع من منافسيك. يواجه مطورو البرمجيات الضغط المستمر لإصدار المنتجات في أسرع وقت ممكن ، وغالبًا على حساب أمان الكود. يُنظر إلى الأمن على أنه يبطئ دورة التطوير وغالبًا ما يكون الترباس بعد الحقيقة.
لاقتباس العظيم تشارلي مونجر، “أرني الحافز ، وسأريكم النتيجة.” لا يكتب مطورو البرمجيات رمزًا آمنًا لأنه ليس لديهم حافز للقيام بذلك. ومما زاد الطين بلة ، أن الشركات التي تعمل من أجلها لديها حافز ضئيل للغاية للتركيز على أمن منتجاتها أيضًا. يقوم مشتري تكنولوجيا المعلومات ومشتري CISO بشراء رمز غير آمن طالما كان هناك رمز.
واجهت صناعة السيارات مشكلة مماثلة – لم يتم شراء السيارات التي تم شراؤها إلى هذه النقطة لأنها كانت آمنة. لم يكن الناس يذهبون إلى وكلاء السيارات (هل كان لديهم وكلاء في الستينيات؟) وطرح أسئلة حول تصنيف سلامة السيارة أو إذا كان لديه عمود توجيه قابل للطي ولوحة معلومات مبطن. لقد اشتروا المركبات بناءً على المظهر ، والأسلوب ، والسرعة القصوى والتسارع ، والأهم من ذلك ، الفرح الذي تلقوه أثناء تشغيل طريقة النقل الجديدة. لم تكن السلامة ميزة مطلوبة ، وبالتالي كانت فكرة لاحقة. هذا متطابق تقريبًا مع كيفية قيامنا ببناء واشترى البرامج حتى اليوم. نحن نعطي الأولوية ونشتري بناءً على القيمة التي نحصل عليها من البرنامج ، مع القليل من الاهتمام بمدى أمانها.
لا يوجد حافز لتحديد أولويات الأمن عندما لا يكون هذا ما يطلبه المشترين. تتطلب صناعة السيارات التعرف على المستهلك للمشكلة ، مما أدى إلى احتجاز لمعايير الأمان الأفضل قبل أن “يضيع مصنعو السيارات وقتهم على ميزات سلامة المنتج.
لن نرى لحظة “غير آمنة في سرعة البرنامج” في عام 2025
لم تتعلم صناعة البرمجيات من ماضي صناعة السيارات لعدة أسباب رئيسية. بادئ ذي بدء ، عندما تتعرض لحادث سيارة ، هناك فرصة غير تافهة للخسارة في الأرواح. يموت الناس عندما لا توجد ميزات أمان موجودة في سياراتهم ، وحتى عدد قليل من الوفيات غير مقبول للجمهور. كانت عواقب حادث سيارة على الفور وحشوية وتركت انطباعًا دائمًا في أذهان أولئك الذين كانوا في واحد أو رأوا واحدة. البرامج مختلفة. عندما يكسر البرنامج على التلفزيون الخاص بك ، على سبيل المثال ، يمكنك إعادة تشغيله.
حتى وقت قريب ، في أسوأ الحالات ، أسفرت الغالبية العظمى من عيوب البرامج عن حل وسط لبعض كيان الشركات المجهول مع القليل من التأثير على السكان. بالتأكيد ، قد تكون هناك فرصة ضئيلة للغاية لتهدئة حساباتهم ، أو سرقت أموالًا مباشرة منهم ، أو تم الاحتيال ضدهم ، لكن معظم عالم المستهلك يعتقد أن “هذا لن يحدث لي” ، وبموجب قانون قانون أعداد كبيرة ، ربما تكون على حق. وإذا كان الأمر كذلك ، فإنهم مؤمنون ، ومغطى بالخسارة ، وفي معظم الوقت ، يعانون فقط من الاضطرار إلى القفز عبر الكثير من الأطواق لاستعادة ما فقدوه.
بسبب هذا الموقف الذي يتجه إلى المخاطر ، من الأسهل بكثير على صناعة البرمجيات تجاهل المشكلة ، وتشكيلها كتكلفة لممارسة الأعمال التجارية. بمعنى آخر ، لا يوجد طلب على التغيير.
بالإضافة إلى الاختلاف في المخاطر بين السيارات ونقاط الضعف ، فإن تعقيد مشهد البرمجيات يقزأ من سيارات السيارات في الستينيات. إذا تمكنا من تنفيذ أربع إلى ست عمليات برمجيات بسرعة وإصلاح سجل مخاطر البرمجيات العالمي بأكمله ، فأعدنا بأننا نفعل ذلك. المشكلة أكثر تعقيدًا وتحديًا في الإصلاح من أقل من 10 شركات تصنيع السيارات في الستينيات من القرن الماضي. إذا كانت هناك 10 شركات لتطوير البرمجيات فقط ، فسيكون من الأسهل تفويض التغيير.
ومع ذلك ، فإن البرامج حرفيًا في كل ما نلمسه. من أجهزة إنترنت الأشياء إلى الأجهزة المنزلية إلى ألعاب الأطفال – لقد أكلت البرامج العالم ، مما يجعل تأمين هذا البرنامج مهمة أكثر صعوبة في إكمالها. كان على بناة السيارات إجراء بعض التغييرات على منتجاتهم وكانوا مستعدين للبيع. لم يكن عليهم تغيير عالم التصنيع بأكمله لكل منتج متاح للجمهور للتحرك نحو الأمان. هنا حيث تقصر المقارنة.
SBD والدفع لتأمين برنامجنا
هذا المستوى المذهل من التعقيد يطرح مسألة من المسؤول عن إصلاح المشكلة. في مايو 2024 ، كان هناك دفعة كبيرة لبائعي البرامج للتوقيع على “Secure by Design (SBD)”. حاليًا ، التزمت أكثر من 250 شركة باتباع آمنة من قبل مبادئ التصميم وضمان إنشاء برامجها بمعايير شديدة الأمن في كل خطوة من عملية التطوير.
أحب الآمنة عن طريق تعهد التصميم ، لكن 250 شركة هي انخفاض في الدلو ؛ وفق Cyberb هناك أكثر من 3500 شركة الأمن السيبراني وحدها. هذه مجرد الشركات التي تعمل على تأمين حياتنا اليومية. 250 توقيعات هي مجرد بريق مقارنة بعدد الشركات في الولايات المتحدة. بعض الأبحاث المطالبات أكثر من 33 مليون شركة في عام 2024 في الولايات المتحدة وحدها ، فإن الجزء الأكبر من الشركات الصغيرة. تتمثل المشكلة الصعبة في الوصول إلى نقطة التحول المطلوبة للشركات في جميع أنحاء الولايات المتحدة ، والعالم ، في إدراك أن المخاطر عالية جدًا وتغيير الطلب من بائعي البرمجيات.
بحث من كلية آنبرغ بجامعة بنسلفانيا للاتصال ومدرسة الهندسة والعلوم التطبيقية يوضح أن ما يقرب من 25 ٪ من السكان مطلوب لضرب نقطة التحول للتغيير الاجتماعي على نطاق واسع. نحن لسنا حتى قريبون.
ما أعتقد أننا يجب أن نفكر فيه ليس كيف نصلح مشاكل أمان الكود بشكل أفضل أو أسرع ، ولكن بدلاً من ذلك ، كيف نصل إلى نقطة التحول حيث يتغير هيكل الحوافز ويبدأ برنامج العالم في إصلاح نفسه. إذا فكرنا في الأمر بهذه الطريقة ، فإننا نرى بسرعة أن التغيير لن يأتي إلا عندما يتم تنفيذ مطلب من طلب المشتري واللوائح التي تفرضها الحكومة.
إصلاح رمز آمن كحركة في عام 2025
بالنظر إلى التوقعات السلبية والتوقعات المتقاربة التي قدمتها ، ربما تندم على قراءة هذا المقال. أحب أن تغادر مع الفكرة المعاكسة في عقلك وربما تقترب من عام 2025 باعتبارها السنة التي يمكن أن تقترب فيها صناعة البرمجيات من نقطة التحول لبناء البرمجيات بشكل آمن.
على غرار القضايا التي تمت مناقشتها في غير آمن في أي سرعةستستمر الشركات التي تكتب برامج من أي نوع في العودة إلى ملكية المشكلة ومحاولة تحريك أو تجاهل المسؤولية عن أي مشكلات صحية وسلامة وأمان تظهر. نظرًا لاستخدام البرامج بشكل متزايد في مواقف الحياة والموت مثل الرعاية الصحية والسيارات والاتصالات في حالات الطوارئ ، إلخ.
إذا كنا بصوت عالٍ بما فيه الكفاية ، في مرحلة ما ، ستتحول مسؤولية البرمجيات إلى أولئك الذين يقومون ببناء المنتج ، وعندما يحدث ذلك ، ستتغير هياكل الحوافز ، وستولي الشركات المزيد من الاهتمام للمخاطر التي يتعرض لها أعمالهم الخاصة. للأسف ، لا أعتقد أننا سنصل إلى النقطة التي تهتم فيها الشركات بما فيه الكفاية بأمان الكود لتحديد أولوياته لمجرد أنه هو الشيء الصحيح الذي يجب القيام به لعملائها. بدلاً من ذلك ، لتحقيق أهدافنا ، يتعين علينا أن نجعل من الضروري لصحة ونجاح أعمالهم كتابة رمز أكثر أمانًا ، والطريقة الوحيدة للقيام بذلك هي أن تكون بصوت عالٍ للغاية وتغيير الطلب.
لذا ، ما الذي يمكنك فعله كمشتري برامج CISO وتكنولوجيا المعلومات في عام 2025 للمساعدة في تحريك الإبرة والنمو نحو نقطة تحول الرمز الآمن؟ أولاً وقبل كل شيء ، نحتاج إلى تعليم كل واحد منكم بشأن مخاطر عيوب البرامج والمساعدة في توضيح هذه المشكلات لمطوري البرامج التي تشتريها أو ترخيصها. يجب أن يكون المستخدمون والمطورين أكثر وعياً بأهمية الأمان والعواقب المحتملة لنقاط الضعف على كل من الشركة التي تبيع البرنامج والأشخاص الذين يستخدمونه.
ثانياً ، ومن المحتمل أن تكون أكثر أهمية ، يجب عليك دفع ممثلي الحكومة والوكالات إلى أن تصبح أكثر تعليماً حول هذا الموضوع وبناء لوائح ومعايير أقوى لإنشاء البرمجيات الآمنة. لن تصبح السيارات أبدًا أكثر أمانًا إذا لم تدخل الوكالات الحكومية ووضع اللوائح والمعايير في مكانها والتي طالبت بها السيارات على الأقل بمستوى أمان على الأقل. يجب أن يكون لدينا لوائح في عالم البرمجيات التي تضع نقطة التحول في متناول اليد ، ويعود الأمر إلى المشترين ومستخدمي البرامج لدفع الحكومة على هذه الجبهة. يجب أن تعود المسؤولية إلى المنشئ ، وهو ما يحدث فقط عندما تتورط الحكومة. سيستغرق الأمر جيشًا ، ولكن إذا صراخ ونصرخ بصوت عالٍ بما فيه الكفاية مع مرور الوقت ، فإن شراء البرامج المكتوبة بشكل آمن فقط ، ونحدث مستوى كبيرًا بما يكفي من الضوضاء ، فيمكننا الاستمرار في السير ببطء نحو التحسن.
المسيرة البطيئة إلى “تأمين في جميع السرعات”
تماما كما غير آمن في أي سرعة كانت دعوة للاستيقاظ لصناعة السيارات ، والوعي المتزايد لقضايا أمان البرمجيات وتأثير نقاط الضعف على سلامة الإنسان والصحة هو بناء الضغط من أجل حساب مماثل في عالم البرمجيات. يجب أن نستمر في التحرك نحو أ آمنة في الجميع سرعات عالم تطوير البرمجيات.
لا أعتقد أننا سنرى نقطة التحول في عام 2025 ، ولكن يجب على كل واحد منا أن يتعامل مع هذا التغيير مع صرخة حاشدة موحدة لبناء الحجم المطلوب للاستماع إلى أعلى المستويات. شكرًا لك ، Jen Easterly وفريق CISA ، على العمل الأرضي الذي قمت به من أجل هذه الحركة ، وآمل أن يكون عام 2025 هو العام الذي سنعمل فيه معًا لاتخاذ خطوات يومية نحو النجاح.
