مشهد أمن البرمجيات في منعطف مثير للاهتمام. كما Jen Easterly ، المدير السابق لـ وكالة أمن الأمن السيبراني والبنية التحتية (CISA) ، أشار إلى أن هناك درسًا يمكن استخلاصه من صناعة السيارات في الستينيات. أثبت منهجها في تحسين سلامة السيارات من خلال بناء تصاميم أفضل – بما في ذلك أحزمة الأمان ، ومناطق التجاعيد ، والإطارات المعززة – أكثر فاعلية في إنقاذ الأرواح من الاستجابة للحوادث بعد حدوثها.
يحتاج مقدمو البرمجيات إلى اتباع نفس النهج وتقديم حلول آمنة حسب التصميم ، والانتقال من إدارة المخاطر التفاعلية إلى تحمل المساءلة الاستباقية عن معالجة التهديدات السيبرانية المتصاعدة. سيتطلب ذلك فهمًا واضحًا للطبيعة المجزأة والمتداخلة للعديد من معايير الصناعة ، واعتماد أدوات مبتكرة مثل اتفاقيات مستوى حماية الإنترنت (CPLAS) ، وضمان إدارة الخدمة من خلال الحياة.
معايير مجزأة ومتداخلة
كان هناك توسع سريع في عدد أطر الأمن في جميع أنحاء العالم في السنوات الأخيرة ، بما في ذلك ISO 27001 (بما في ذلك ISO/IEC27034) و NIST و OWASP و قانون المرونة الإلكترونية في الاتحاد الأوروبي. حاولت العديد من المؤسسات ، التي غالباً ما تكون مدفوعة بضغوط تنظيمية أو عميل أو عميل ، اتباع هذه المعايير. ومع ذلك ، بالنسبة لأولئك الذين يعملون عبر سلطات جغرافية متعددة ، فإن هذه المعايير المتداخلة ، وفي بعض الأحيان ، تجعل من الصعب الامتثال. عندما يتعلق الأمر بمشتريات البرمجيات ، فإن العديد من CISO تكافح مع تقييم الموردين والقلق من احتمال وجود فجوات في الأمن.
بدون اتباع نهج موحد للمعايير ، تخاطر المنظمات بالتعرض للثغراتية التي تستغل الفجوات. هجمات سلسلة التوريد ، مثل Solarwinds Sunburst Breach أو حادثة تحديث برنامج CrowdStrike، هي تذكير بما هو على المحك: التعطيل التشغيلي ، الإجراءات القانونية ، والأضرار التي لحقت بأصحاب المصلحة. المعايير الأكثر اتساقًا لن تخفف فقط من هذه المخاطر ولكنها تبسيط الامتثال.
ما هي cplas؟
تقدم CPLAS حلاً عمليًا من خلال إضفاء الطابع الرسمي على التزامات أمن الموردين في عقود المشتريات. إنها توفر طريقة لضمان تفكير موردي البرامج الآمنين في الامتثال للعديد من معايير الأمن السيبراني الحالي والمستقبل. على غرار اتفاقيات مستوى الخدمة (SLAs) ، تحدد CPLAs معايير قابلة للقياس ، مثل تقييمات الضعف ، الجداول الزمنية للرقابة ، وبروتوكولات الإبلاغ عن الحوادث لإنشاء التزامات واضحة وقابلة للتنفيذ.
غالبًا ما يؤدي الغموض في التزامات الموردين إلى مخاطر يمكن الوقاية منها ، ولكن من خلال تحديد المتطلبات المستمدة من المعايير والتنظيم المعمول بها ، تخلق CPLAs المساءلة. هذا يمنع الموردين من قطع الزوايا ويضمن مستوى ثابت من الحماية.
يجب أن تحدد cplas:
- ضمانات الوقت للوقت: نقاط الضعف الحرجة مصححة في غضون 72 ساعة.
- شفافية برمجيات البرمجيات (SBOM): الكشف الكامل عن مكونات البرامج ، بما في ذلك مكتبات الطرف الثالث.
- استجابة الحوادث مؤشر أسرعاوين كي كبيس: أهداف وقت الاسترداد المحددة والتزامات الإبلاغ عن الانتهاكات.
- التزامات دورة الحياة: التحديثات المستمرة وخطط انتقال نهاية الحياة.
من خلال تحديد أهداف واضحة وقابلة للتنفيذ لمورديها ، يجب أن تشهد المنظمات تخفيضات في وقت التوقف ، وتقليل ناقلات الهجوم ، وحوادث أقل.
إدارة خدمة الحياة
تتطلب شراء البرمجيات الآمنة الإدارة المستمرة. يمكن تحقيق ذلك من خلال إدارة الخدمة من خلال الحياة ، والتي تشمل عمليات التدقيق العادية ، ومراقبة الضعف ، وخطط نهاية الحياة المحددة بوضوح لإدارة الأمن من الاستحواذ إلى الإيقاف. بدون إدارة الحياة ، تخاطر المؤسسات بروثة البرامج غير المدعومة أو غير الآمنة ، مما يؤدي إلى نقاط الضعف التشغيلية والتكاليف المتصاعدة.
بناء المساءلة في شراء برامج آمنة
تؤكد هذه المخاطر على الحاجة إلى تضمين الأمن في المشتريات والتأكد من اعتبارها عملية مستمرة ، وليس مهمة لمرة واحدة. يبدأ هذا بمواءمة المشتريات مع أهداف أمنية طويلة الأجل وتتطلب من البائعين إظهار مبادئ آمنة من خلال التصميم. يجب دمج CPLAs في العقود و SBOMs للبائعين وممارسات التطوير الآمنة التي تم تقييمها كجزء من العملية.
في نقطة انتقال الخدمة ، يجب التحقق من صحة البرنامج من خلال اختبار صارم ، مثل اختبارات الاختراق. بمجرد أن يتم تشغيل الخدمة بعد ذلك ، يجب مراقبة الأداء مقابل مقاييس CPLA. يجب أن يكون كل هذا مصحوبًا بالتركيز على تحسين الخدمة المستمر للاستفادة من مراجعات الحوادث لتعلم الدروس للعقود المستقبلية.
تضمين هذه المبادئ يضع المنظمات في وضع أقوى عند التفاوض مع الموردين.
الاستفادة من الذكاء الاصطناعي لتوحيد المعايير
يمكن أن يلعب الذكاء الاصطناعي (AI) أيضًا دورًا محوريًا في التنقل في هذا المشهد الأمني المجزأ. العمليات الحالية لتقييم المعايير والمواءمة هي يدوي وغير متناسقة ومعرضة للخطأ. يمكن لأدوات الذكاء الاصطناعي المجهزة بمعالجة اللغة الطبيعية أن تخطط تداخل بين المعايير ، مما يخلق متطلبات موحدة يمكن تتبعها في الأطر الأصلية ، مما يوفر الوقت لفرق المشتريات. أدوات مراقبة الامتثال في الوقت الفعلي الناشئة لديها القدرة على تطبيق التزامات الأمان تلقائيًا ، مما يقلل من الخطأ البشري وزيادة الكفاءة.
التعاون: طريق إلى المعايير المنسقة
بينما توفر أدوات CPLAS و AI حلولًا داخلية ، فإن التغيير المنهجي يتطلب التعاون. يمكن أن تنشئ اتحادات المشتري والمواءمة التنظيمية ، كما يظهر في قانون المرونة السيبراني في الاتحاد الأوروبي ، خطوط أساسية أمنية عالمية.
هذا النوع من التعاون يقلل من الازدواجية ، وتبسيط الامتثال ، ويخفض تكاليف الموردين والمشترين على حد سواء. تخلق المعايير الشاملة ساحة لعب مستوية ، مما يسهل على المؤسسات تحديد بائعين آمنين وموثوقين.
الخطوات التالية ل CISOs وقادة المشتريات: الاستنتاج
شراء البرمجيات الآمنة في عام 2025 أمر حيوي. من خلال توحيد المعايير المجزأة ، وفرض مساءلة المورد من خلال CPLAs ، واعتماد إدارة خدمة الحياة ، يمكن للمؤسسات تخفيف المخاطر وتحسين المرونة. المخاطر عالية ، ولكن وكذلك الفرص. يمكن أن يعمل التصرف بشكل حاسم الآن حماية المؤسسات من التهديدات الإلكترونية وإعادة تشكيل صناعة البرمجيات إلى صناعة تعطي الأمن مثل الابتكار.
روبرت كامبل ، خبير في الأمن السيبراني في PA Consulting
