Biden Yönetiminin yakın zamanda güncellediğine bir bakış Ulusal Siber Güvenlik Stratejisi belgesi Apple’ın hâlihazırda uyguladığı siber suç yaklaşımlarından bazılarını yansıtıyor gibi görünüyor.
Örneğin mahremiyeti ele alalım. Teklif, mahremiyet korumasının artık büyük teknolojinin karşı çıkabileceği bir şey olmayacağını gösteriyor – şirketlerin mahremiyete öncelik vermesi gerekecek. Her zaman Apple’ın yaklaşımı olan kullanıcı bilgilerinin toptan toplanmasını ve analiz edilmesini gerektirmeyen bir işletme yürütüyorsanız bunda bir sorun yoktur. Şirket, bilgileri gizli tutmanın en iyi yolunun, onu hiç toplamamak olduğunu savunuyor.
Bu yaklaşım eksiksiz olmasa da – siz ve cihazlarınız hakkında en azından bazı bilgilerin bir dereceye kadar görünür olduğunu anlamak için Apple’ın aktivasyon sunucularına sert bir şekilde tekme atmanız gerekmez – kişisel bilgilerinizin çoğu görünmez. Apple’ın son kararı korumaları genişletmek iCloud’un kullanımına sunması da NCS belgesinde yapılan bazı taahhütleri yansıtıyor gibi görünüyor.
Tıpkı App Store uygulamalarının gizlilik politikalarını ifşa etmesi ve bilgilerinizle ne yaptığını kabul etmesi gerektiği gibi, yeni güvenlik stratejisi de yazılım üreticilerinin ve hizmet sağlayıcıların ürünlerinin güvenliği için çok daha fazla sorumluluk almalarını zorunlu kılmaktır.
“Siber güvenlik yükünü bireylerden, küçük işletmelerden ve yerel yönetimlerden alıp hepimiz için riskleri azaltmak için en yetenekli ve en iyi konumlanmış kuruluşlara kaydırarak siber uzayı savunma sorumluluğunu yeniden dengelemeliyiz.” Beyaz Saray brifing açıklaması.
Ama kimse mükemmel değil
Apple’ın güvenli bir platform oluşturma konusundaki itibarı, bu tür platformları oluşturmanın ve sürdürmenin mümkün olduğunu her zaman göstermiştir. Ve güvenlik koruması hiçbir zaman mükemmel olmasa da, şirketin bunu başarmış olması, herhangi bir şirketin aynı yolu izlemesinin mümkün olduğu anlamına gelir.
Bu (ve daha fazlası), yeni tekliflerin fiilen gerektirdiği şeydir. Bekleyebileceğiniz gibi, yazılımlarının veya hizmetlerinin savunmasız olduğu tespit edilirse sorumlu tutulacakları anlamına geldiğinden, bu durum bazı sektör oyuncularının tepki göstermesine neden oluyor.
bu Bilgi Teknolojileri Sanayi Konseyiörneğin, bu düzenlemelerin geliştiriciler ve müşteriler arasında yapılan özel sözleşmeleri tehdit ettiğini düşünüyor gibi görünüyor.
Aynı zamanda CNN raporları, teklif, ABD hükümetinin piyasa güçlerinin ulusu güvende tutma konusundaki başarısızlığı olarak gördüğü şeyi yansıtıyor. Hafif dokunuş düzenlemesi, kayıtsızlıkla eşit olmamalıdır. Güvenlik korumalarının başarısız olmasının nedeninin her zaman ihmal olmadığı iddiası da var.
Apple odaklı MDM ve güvenlik şirketi Jamf’in CISO’su Aaron Kiemele şöyle diyor: “Tüm yazılımlar bir şekilde gelecekteki istismarlara karşı savunmasızdır. Yeni bir sorunun ortaya çıkması ve yaygın bir etkiye neden olması, yazılım satıcısının ihmalkar olduğu anlamına gelmez. Her şeyi doğru yapabilir ve yine de bir güvenlik olayından etkilenebilirsiniz.
“Bununla birlikte, güvenlik ve mahremiyete gerçekten öncelik vermeyen şirketlerin yanı sıra yıllardır yama yapılmadan kalan birçok eski güvenlik açığı var” dedi. şirket) ve bu, makul bir şekilde tahmin edilemeyen bir güvenlik ortamı için cezalandırıcı bir ceza haline gelmeden reformu yönlendirmek zor olacaktır.
Kiemele, “Benim için en ilginç olanı, bunun şu anda verilerini ve müşterilerini korumak için doğru şeyi yapmayan yazılım şirketlerine uygun sorumluluk yüklemek için iyi niyetli bir çaba gibi görünmesi olmaya devam ediyor” dedi.
“İyi uygulamalarımız için ödüllendirileceğimizi ve sektördeki diğerlerinin dijital ekosistemi güvence altına almak için asgari düzeyde çaba sarf etmesi gerekeceğini bilerek daha fazla hesap vermek güzel olacak.”
Jamf geçen yıl yatırım yapmak için bir fon kurdu. Apple ile ilgili güvenlik girişimleri.
Apple’ın platformlarını korumaya yönelik sağlam yaklaşımı, benzer bir açıklama yapmak istemesini sağlayabilir.
Artan hesap verebilirlik
Ardından, bağlı cihazlarla ilgili değerlendirmeler var. Apple’ın akıllı ev çözümü HomeKit’in geçmişini tekrar düşünün ve benimsenmesinin hiçbir zaman beklendiği kadar hızlı olmadığını görebilirsiniz. Apple tarihini izleyenler, bunun nedenlerinden birinin, Apple’ın üreticilerin güvenlik standartlarını karşılaması ve kendi silikonunu kullanması konusunda ısrar etmesi olduğunu bileceklerdir. Diğerleri aynı sıkı korumaya ihtiyaç duymadı ve gördük bunun nasıl suistimal edilebileceğine dair birçok kanıt. Apple bile Siri’yi gözetlemeye ayarladığında bu güveni kötüye kullandı.
Ancak ulusal güvenlik söz konusu olduğunda güvenlik açıkları, söylediklerinizi dinleyen ev hoparlör sistemlerinin ötesine geçer. Bağlantılı sağlık sistemleri devreye almanın hızlandığını görse bile, Endüstri 4.0’ın küresel olarak yayıldığını biliyoruz.
Tüm bu bağlı cihazlar, yazılım ve hizmetlere güveniyor ve bu alanlardaki satıcıları bu sistemler için daha sorumlu hale getirme hamlesi mantıklı görünüyor.
Target’a yönelik rezil HVAC saldırısından bu yana, daha az önemli bir bağlı sistemin bile nasıl hedef alınabileceğini biliyoruz. Hiç kimse güvenliği sağlanamayan veya güncellenemeyen herhangi bir bağlı cihaz satın almamalı, hiçbir üretici de varsayılan olarak 0,0,0,0 gibi zayıf bir parolaya sahip öğeleri satmamalıdır.
Satıcıları bu sistemleri güçlendirmekten sorumlu tutmak mantıklı çünkü çok fazla başarısızlık vakası gördük.
Beyaz Saray güvenlik önerileri, kuantum hesaplamanın geleneksel çevre ve uç nokta güvenlik koruması üzerindeki etkisi gibi gelecekteki tehditlere de bakıyor. Apple’ın biyometrik kimlik ve şifresiz Geçiş Anahtarları desteğiyle burada bazı yanıtları olduğunu iddia edebilirsiniz, ancak bu yolculukta daha çok kilometre var ve yıllardır parolaların ötesine geçmemiz gerekiyordu.
Ancak en azından teklifler, o alana dahil olan herkesin başka birinin yapmasını beklemek yerine ürünlerini güvence altına almak için çalışmaya daha fazla motive olacağı anlamına gelmelidir.
Tasarımcı güvensizlik pazarını yok etmeliyiz
Ve bu tekliflerdeki büyük olumlu şey budur. Temelde, yazılım ve hizmet sağlayıcılara güvenlik için daha fazla sorumluluk almalarını söylemek muhtemelen en çok sertleşmeye neden olacaktır. Yol boyunca bariz tutarsızlıklar olacak – örneğin, her akıllı telefon satıcısını her uygulama mağazasını desteklemeye zorlayan düzenleyici dürtü, platformları ve hizmetleri güvenli hale getirme ihtiyacıyla uyumlu mu?
Güvenlik ve mahremiyet bu kadar önemliyse, Apple’ın sağladığı ürün ve hizmetlerin güvenliğini ve mahremiyetini azaltmak zorunda kalması nasıl doğru?
Ulusal Siber Güvenlik Stratejisi, değişen bu karmaşık sorunlar ağının tüm yanıtlarına sahip değil, ancak ilerlemek için daha güçlü bir başlangıç noktası sunuyor. Sosyal medya firmaları sonunda büyük bir inceleme bekleyebilirler.
Burada alakalı olabilecek bir Steve Jobs alıntısını akla getiriyor:
“Bir sorunu çözmeye ilk başladığınızda, bulduğunuz ilk çözümler çok karmaşıktır ve çoğu insan burada durur. Ancak devam edip sorunla yaşarsanız ve soğanın daha fazla katmanını soyarsanız, çoğu zaman çok zarif ve basit çözümlere ulaşabilirsiniz. Çoğu insan oraya ulaşmak için zaman veya enerji harcamıyor.”
Yapacak çok iş olacak olsa da, teklifler teknolojinin güvenliği basitleştirme çabalarını hızlandırması için biraz aciliyet getiriyor ve kesinlikle bırakınız yapsınlar teknoloji firmalarının güvenliği bir hizmet olarak satabileceği günlerin sayılı olduğunu gösteriyor.
Bu gerçekten iyi bir şey.
lütfen beni takip et Mastodonveya bana katılın AppleHolic’in barı ve ızgarası Ve Elma Tartışmalar MeWe’deki gruplar.
Telif hakkı © 2023 IDG Communications, Inc.
