Penilaian Keamanan Perangkat Lunak Konsumen: Haruskah Kita Mengikuti Kepemimpinan NHTSA?

Administrasi Keselamatan Lalu Lintas Jalan Raya Nasional (NHTSA) AS berdedikasi pada hal ini misi: “untuk menyelamatkan nyawa, mencegah cedera, dan mengurangi biaya ekonomi akibat kecelakaan lalu lintas, melalui pendidikan, penelitian, standar keselamatan, dan penegakan hukum.” Apakah sudah waktunya untuk membuat organisasi serupa yang didedikasikan untuk keamanan perangkat lunak konsumen? Misinya akan sangat mirip: untuk memastikan perangkat lunak memenuhi standar keamanan dan keselamatan dasar serta mudah dipahami, diterapkan, dan dipertahankan oleh konsumen.

Saat ini, mobil harus memenuhi standar keselamatan dasar sebelum diizinkan untuk dijual ke publik, namun perangkat lunak tidak. Bagaimana kita dapat mempermudah setiap orang Amerika untuk melindungi diri mereka sendiri dan data mereka dari kejahatan digital?

Memenuhi Kebutuhan Keselamatan dan Keamanan Dasar

Aplikasi Android Uber memilikinya lebih dari 10 juta baris kode (saat diluncurkan, sistem ini hanya memiliki sekitar 10,000), hampir sama banyaknya dengan sistem operasi ponsel pintar pada umumnya, yang memiliki sekitar 12 juta baris kode. Di ponsel pintar, ada ribuan pengaturan yang tersedia. Banyak yang memengaruhi keamanan dan privasi dan dapat dikonfigurasi oleh pengguna akhir, yang penting bagi sebagian besar pengguna. Sayangnya, banyak pengguna perangkat lunak dan perangkat tidak menyadari bahwa mereka perlu mempertimbangkan setiap konfigurasi tersebut dengan cermat. Bukan hanya karena konfigurasi yang salah tidak hanya dapat mengekspos mereka kepada calon penyerang, namun juga melindungi mereka dari upaya sah untuk menggunakan data mereka dengan cara yang dapat mengekspos data lebih dari yang mereka sadari.

Hanya sedikit perangkat lunak dan perangkat yang melindungi pengguna dari serangan atau akses data yang terlalu permisif secara default, menjadikan konsumen sasaran empuk bagi pelaku kejahatan. Untuk meningkatkan keamanan perangkat lunak, fitur keselamatan harus ada secara default, namun pengguna juga harus menggunakan fitur tersebut agar efektif.

Membuat Peringkat Keamanan

Salah satu masalah dengan keamanan perangkat lunak konsumen adalah produsen perangkat lunak dan perangkat tidak memperingatkan orang akan bahaya menggunakannya dengan konfigurasi default. Ada banyak lembaga pemeringkat yang memberi tahu pelanggan tentang profil keamanan kendaraan mereka. NHTSA memberikan peringkat keamanan kendaraan sehingga konsumen dapat memilih kendaraan yang paling aman dan mengetahui penarikan kembali dengan mudah. Ada juga Lembaga Asuransi untuk Keselamatan Jalan Raya (IIHS), sebuah organisasi nirlaba independen yang melakukan penelitian dan evaluasi untuk mendidik konsumen, pembuat kebijakan, dan profesional keselamatan. Konsumen dapat menggunakan informasi dari organisasi-organisasi ini untuk menyeimbangkan fungsi yang mereka inginkan dengan fitur keselamatan penting. Hal ini memungkinkan konsumen untuk membuat pilihan sadar mengenai fungsionalitas dan keselamatan saat memilih kendaraan.

Dapat dimengerti bahwa merupakan tugas berat bagi pengembang perangkat lunak untuk melakukan pengujian perangkat lunak secara menyeluruh untuk mengidentifikasi dan memperbaiki semua kemungkinan bug sebelum dirilis. Ini adalah proses yang membosankan, rumit, dan rawan kesalahan. Meski begitu, Gedung Putih telah mendesaknya peningkatan rantai pasokan perangkat lunak di bagian 4 dari Perintah Eksekutif untuk Meningkatkan Keamanan Siber Bangsa. Meskipun sulit (dan mungkin tidak mungkin) untuk merilis perangkat lunak bebas bug, memperingatkan pelanggan bahwa mereka harus meninjau dan mengubah pengaturan default tidaklah sulit.

Peringatan ini harusnya menyertai setiap aplikasi perangkat lunak dan perangkat. Idealnya, halaman tersebut harus lebih mudah diakses daripada halaman syarat dan ketentuan yang panjang dan sulit diuraikan, atau selembar kertas kecil yang terjemahannya buruk di dalam kotak perangkat. Sekilas harus mudah dibaca dan dipahami, tidak memerlukan kaca pembesar, familiar dengan bahasa hukum, dan banyak kesabaran.

Selain memperingatkan konsumen bahwa menggunakan konfigurasi default suatu aplikasi dapat berisiko, kami dapat mengembangkan sistem pemeringkatan yang memungkinkan konsumen mengetahui bahwa apa yang mereka beli pada dasarnya berisiko, sehingga mereka dapat secara sadar melakukan trade-off yang sama seperti yang mereka lakukan saat memilih. sebuah kendaraan. Misalnya, sistem pemeringkatan mungkin mempertimbangkan:

• Cara sistem operasi atau aplikasi tertentu diserang di masa lalu.
• Jumlah patch keamanan yang diperlukan dari waktu ke waktu untuk membuat aplikasi lebih aman.
• Fitur keamanan dalam aplikasi, seperti enkripsi, otentikasi, dan otorisasi.
• Praktik privasi organisasi, termasuk cara organisasi mengumpulkan dan menggunakan data pengguna.

Hal ini mungkin menjauhkan pengguna dari suatu produk — atau setidaknya meningkatkan kesadaran mereka akan profil keamanannya seiring berjalannya waktu. Misalnya saja beberapa Internet browser diketahui secara inheren lebih berisiko dibandingkan yang lain. Bagaimana jika mereka datang dengan peringkat keamanan di awal? Pengguna dapat mengandalkan peringkat tersebut untuk memutuskan apakah mereka bersedia melakukan trade-off fungsi vs. keamanan.

Peran Konsumen dalam Keamanan Perangkat Lunak

Dengan banyaknya perangkat lunak yang ada di tangan pengguna sepanjang hari, sangat penting bagi mereka untuk memulai tinjauan keamanan dan privasi terhadap perangkat lunak dan perangkat yang mereka gunakan. Sebagian besar pengguna hanya fokus pada konfigurasi fitur dan aplikasi yang penting bagi mereka. Meskipun beberapa di antaranya merupakan fitur kegunaan yang penting, pengguna juga harus menyadari bahwa masih banyak lagi yang terlibat. Aplikasi yang mereka gunakan berinteraksi dengan pengaturan sistem operasi, yang dapat menyebabkan aplikasi tersebut menempatkan mereka pada risiko yang lebih tinggi.

Peran kita sebagai pendidik keamanan dan penyedia perangkat lunak harus mendorong pengguna untuk meninjau semua pengaturan default pada perangkat lunak dan perangkat baru dan membuat perubahan yang diperlukan. Sayangnya, ini bukanlah tugas yang mudah bagi sebagian besar pengguna.

Saat ini, terdapat panduan yang tersedia untuk membantu pengguna menavigasi konfigurasi pengaturan paling penting, yang memberi mereka opsi untuk memutuskan keseimbangan antara fungsionalitas, keamanan, dan privasi. Misalnya, Consumer Reports menerbitkan “Panduan Keamanan dan Privasi Digital” untuk membantu konsumen tetap aman saat online, mengontrol pelacakan online, dan melindungi ponsel dan laptop dari penyerang. Meskipun panduan ini bermanfaat, hanya sedikit pengguna yang membaca dan memanfaatkannya. Sistem peringkat keamanan sederhana yang selaras dengan sistem yang lebih luas kebijakan keamanan siber Pemerintahan saat ini dapat memastikan bahwa konsumen memahami dasar-dasar bagaimana menjaga diri mereka sendiri – dan perangkat lunak serta perangkat mereka – tetap aman dan terlindungi.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/consumer-software-security-assessment-should-we-follow-nhtsas-lead