YORUM
Bir zamanlar dijital devrimin teşvik ettiği niş bir zanaat olan siber saldırılar, günümüzde işletmeler için en büyük tehdit haline geldi. Güvenlik ihlalinin artan sorumluluk ve büyüyen hükümet düzenlemeleri gibi önemli sonuçlarına rağmen, kuruluşlar saldırganları durdurmada başarısız olmaya devam ediyorDışarıdan bakıldığında, dijital altyapımızı güvence altına almak için tüm çabaların gösterileceği sonucuna varmak mantıklı görünüyor. Ancak, bunun tam tersinin doğru olduğunu görüyoruz. Birçok kuruluş modern süreçleri, en iyi uygulamaları ve kritik araçları benimsemeyi ertelemeye devam ediyor. Peki neden?
Basit gerçek şu ki, etkili önlemler uygulamaya gelince motivasyon eksikliği var. Ancak bu o kadar da şaşırtıcı olmamalı. İnsanlar genetik olarak ertelemeye yatkındır – hem psikolojik hem de davranışsal olarak iyi belgelenmiş bir eğilim ekonomik araştırma.
Genellikle zamansal iskontolama olarak adlandırılan bu yatkınlık, insanların uzun vadeli faydalar sunan önemli görevleri anında tatmin uğruna ertelemelerinin nedenini açıklar. Bu davranışı hayatın çeşitli yönlerinde görürüz. Hepimiz arabasına nadiren düzenli bakım yapan, yıllık sağlık taramasını erteleyen veya emeklilikte kendini nasıl aktif olarak geçindireceğini düşünmeyen birini tanırız. Bu önemli yaşam görevlerini ertelemeseniz bile, neredeyse çok geç olana veya başka seçeneğimiz kalmayana kadar gerekli eylemleri yapmama hikayemiz vardır.
Ertelememiz bu kadar büyük ve zararlı hale geldiğinde, hükümetler bu doğal eğilime karşı koyacaktır. Örneğin, son düzenlemeler çalışanların mevcut emeklilik programlarına kaydolmasını otomatik hale getirdiler — bu tür politikalar, katılımdan ziyade katılımdan çekilmeyi önceliklendirerek ertelemeyle mücadele ediyor. Bu nispeten küçük değişiklik, katılım oranlarını önemli ölçüde artıran ve herkesin emeklilik için yeterli birikime sahip olmasını sağlamaya yardımcı olan bir süreç yarattı.
Günümüz yazılım organizasyonlarında zayıf güvenlik uygulamalarına yol açan ataleti aşmak için benzer mekanizmalara ihtiyacımız var. Zamansal indirimin üstesinden gelme zorluğu aşılmaz görünse de, erteleme doğamızla mücadele etme umudu var.
Geliştirilmiş Hükümet Eylemi: Mevzuatın Rolü
Ertelemeyi agresif bir şekilde ele almak, sıkı uygulama mekanizmaları aracılığıyla “daha büyük bir sopa” yaklaşımı gerektirir. Federal Ticaret Komisyonu (FTC) ve Menkul Kıymetler ve Borsa Komisyonu (SEC) gibi düzenleyici kurumlar, güvenli yazılım geliştirme standartlarına uyulmaması durumunda önemli cezalar uygulayarak önemli bir rol oynayabilir. Önemsiz olmayan mali cezalar uygulayarak ve güvenli geliştirme uygulamalarını benimsememek için cezai yaptırımları destekleyerek, kuruluşlar siber güvenliği ciddiye almak için daha büyük motivasyonlara sahip olacaktır.
Cezalar, yeni düzenlemeler getirmenin önemiyle ilgili olmayan, bunun yerine kuruluşları yazılımlarının güvenliği ve emniyeti konusunda sorumlu tutan bir sorumluluk ve kusur beyanıdır. Başka hiçbir üretim endüstrisinin, hesap verebilirlik olmaksızın zarara yol açtığı bilinen prosedürleri veya standartları kullanmasına izin verilmez. Yazılım üreticileri de aynı beklentilere tabi tutulmalıdır. Modern yazılımın günlük yaşam için kritikliği göz önüne alındığında, bir yazılım üreticisi ürünlerinin güvenliği ve emniyeti için sorumluluktan kaçınamamalıdır.
Otomobil ve Gıda Güvenliğinden Dersler
Sorumluluk ve zorunlu güvenlik standartları dayatma kavramı yeni değildir. Otomotiv endüstrisi, Ralph Nader’in kitabının teşvik ettiği kamuoyu tepkisinin ardından güvenlikte önemli gelişmeler gördü Herhangi Bir Hızda Güvensiz. Bu değişim gönüllü değildi, ancak katı düzenlemeler ve Ulusal Karayolu Trafik Güvenliği İdaresi’nin (NHTSA) kurulmasıyla yönlendirildi. Benzer şekilde, Gıda ve İlaç Dairesi (FDA) gibi kurumlar tarafından uygulanan gıda güvenliği düzenlemeleri, ürünlerin tüketicilere ulaşmadan önce belirli güvenlik standartlarını karşılamasını sağlar.
Yazılım endüstrisinin NHTSA’ya eşdeğer bir şeye ihtiyacı var; güvenlik standartlarını uygulayan ve üreticileri uyumsuzluktan sorumlu tutan bir kuruluş. Potansiyel bir kuruluş Federal Ticaret Komisyonu’dur. Haksız veya aldatıcı ticaret uygulamalarını önleme yetkisiyle FTC, tüketici verilerini korumada başarısız olan şirketlere karşı yaptırım eylemlerinin sıklığını ve ciddiyetini artırarak yazılım üretim sorumluluğunda önemli bir rol oynayabilir.
Daha Fazla Rehberlik ve Zamansal İskontolama
Yazılım geliştirmeyi güvence altına almak için en iyi rehberliklerden bazıları otomatik güncellemeleri ve yamaları uygulamaya odaklanır. Bu yaklaşım, yazılımın kullanıcı müdahalesi gerektirmeden güvenli kalmasını sağlamaya yardımcı olur. En son olarak, Siber Güvenlik Altyapısı ve Güvenlik Ajansı (CISA) ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), yazılım organizasyonlarına bir yazılım malzeme listesi (SBOM) üretmeleri ve sürdürmeleri talimatını vererek, tedarik ve tüketicilerin satın aldıkları yazılımlardaki bileşenlerle ilişkili kaliteyi ve riskleri anlamalarını sağladı.
Rehberlik ve en iyi uygulamaları benimsemedeki boşluk eğitim eksikliği değildir. Birçok yazılım üreticisinin güvenli yazılımın önemini görmezden gelmesine yol açan şey ertelemedir, tıpkı birçok insanın emeklilik için tasarruf etmenin önemini görmezden gelmesi gibi. Yazılım güvenliği söz konusu olduğunda, kolektif sorumluluğumuz tartışmanın ötesine geçer. Sektör liderleri, politika yapıcılar ve tüketiciler, yazılım ekosistemi içinde bir güvenlik kültürü oluşturmak için birleşmelidir.
Politika ve Uygulama ile Ertelemenin Önlenmesi
Geriye dönüp baktığımızda Ülkenin Siber Güvenliğinin İyileştirilmesine İlişkin Yürütme Emrimesaj açıktır: Yazılım tasarım gereği güvenli olmalıdır. Bu sonuca ulaşmak için CISA, NIST ve diğerleri gibi politika yapıcılar yazılım üreticilerini tasarım gereği güvenli ilkelere uymaya zorlamalıdır. Sorumluluk reformu ve FTC’nin adil ticaret zorunlulukları gibi mevcut düzenlemelerin daha aktif bir şekilde uygulanması gibi geliştirilmiş hükümet eylemleri, doğal ertelemeyi önlemeye ve zayıf güvenlik sonuçlarına yol açan piyasa başarısızlıklarını ele almaya yardımcı olabilir.
En büyük başarıya hazır kuruluşlar, acil iş ihtiyaçları ile uzun vadeli güvenlik yatırımları arasında önceliklendirme yapmanın yanlış bir ikilem olduğunu anlayacaktır. Sağlam siber güvenlik önlemlerine yatırım yapmak için vergi indirimleri veya yüksek güvenlik standartlarını karşılamak için sertifikalar gibi ekonomik teşvikler, kuruluşları güvenliğe öncelik vermeye daha fazla motive edebilir. Tersine, uyumsuzluk için para cezaları ve yaptırımlar uygulamak, erteleme için finansal bir caydırıcı etki yaratarak şirketleri hızlı hareket etmeye zorlar.