Оцінка безпеки споживчого програмного забезпечення: чи слід нам слідувати прикладу NHTSA?

Цьому присвячена Національна адміністрація безпеки дорожнього руху США (NHTSA). місія: «рятувати життя, запобігати травматизму та зменшувати економічні витрати через дорожньо-транспортні пригоди за допомогою освіти, досліджень, стандартів безпеки та забезпечення виконання». Чи настав час створити подібну організацію, яка займатиметься безпекою споживчого програмного забезпечення? Місія буде дуже схожою: переконатися, що програмне забезпечення відповідає основним стандартам безпеки та безпеки, а також його легко зрозуміти споживачам, застосувати та підтримувати.

Сьогодні автомобілі повинні відповідати основним стандартам безпеки, перш ніж їх дозволять продавати громадськості, але програмне забезпечення цього не робить. Як ми можемо полегшити кожному американцю захист себе та своїх даних від цифрових злочинів?

Задоволення базових потреб у безпеці

Додаток Uber для Android має більше 10 мільйонів рядків коду (на момент запуску вона мала лише близько 10,000 12), майже стільки ж, скільки типова операційна система для смартфонів, яка містить приблизно XNUMX мільйонів рядків коду. На смартфонах доступні тисячі налаштувань. Багато з них впливають на безпеку та конфіденційність і можуть налаштовуватися кінцевими користувачами, що важливо для більшості користувачів. На жаль, багато користувачів програмного забезпечення та пристроїв не розуміють, що їм потрібно ретельно розглядати кожну з цих конфігурацій. Не тільки тому, що неправильна конфігурація може наражати їх на потенційних зловмисників, а також захистити їх від законних спроб використати їхні дані у спосіб, який може викрити їх більше, ніж вони уявляють.

Небагато програмного забезпечення та пристроїв за замовчуванням захищають користувачів від атак або надто дозволеного доступу до даних, що робить споживачів легкою міткою для зловмисників. Щоб підвищити безпеку програмного забезпечення, функції безпеки мають бути встановлені за замовчуванням, але користувачі також повинні використовувати ці функції, щоб вони були ефективними.

Створення рейтингів безпеки

Однією з проблем безпеки споживчого програмного забезпечення є те, що виробники програмного забезпечення та пристроїв не попереджають людей про небезпеку використання їх із конфігурацією за замовчуванням. Є багато рейтингових агентств, які повідомляють клієнтам про безпеку своїх автомобілів. NHTSA надає рейтинги безпеки транспортних засобів, щоб споживачі могли вибрати найбезпечніші транспортні засоби та легко дізнатися про відкликання. Існує також Страховий інститут безпеки на дорогах (IIHS), незалежна некомерційна організація, яка проводить дослідження та оцінку для навчання споживачів, політиків і фахівців з безпеки. Споживачі можуть використовувати інформацію від цих організацій, щоб збалансувати потрібну функціональність із критично важливими функціями безпеки. Це дозволяє споживачам робити свідомий вибір щодо функціональності та безпеки при виборі автомобіля.

Зрозуміло, що для розробників програмного забезпечення є складним завданням виконувати вичерпне тестування програмного забезпечення, щоб виявити та виправити всі можливі помилки перед випуском. Це виснажливий, складний і схильний до помилок процес. Незважаючи на це, Білий дім закликав вдосконалення ланцюга постачання програмного забезпечення у розділі 4 ст Наказ про підвищення кібербезпеки нації. Хоча випустити програмне забезпечення без помилок складно (і, можливо, неможливо), попередити клієнтів про те, що вони повинні переглянути та змінити налаштування за замовчуванням, неважко.

Це попередження має надходити з кожною програмою та пристроєм. В ідеалі вона має бути доступнішою, ніж довга, складна для аналізу сторінка з положеннями та умовами або маленький, погано перекладений аркуш паперу в коробці пристрою. Його має бути легко читати та розуміти з першого погляду, а не вимагати збільшувального скла, знання юридичної мови та великого терпіння.

Окрім попередження споживачів про те, що використання конфігурації програми за замовчуванням може бути ризикованим, ми могли б розвинути систему оцінювання, яка дозволить споживачам знати, що те, що вони купують, за своєю суттю є ризикованим, щоб вони могли свідомо йти на ті самі компроміси, що й при виборі транспортний засіб. Наприклад, рейтингова система може враховувати:

• Способи атаки на певну операційну систему чи програму в минулому.
• Кількість патчів безпеки, необхідних з часом для підвищення безпеки програми.
• Функції безпеки програми, такі як шифрування, автентифікація та авторизація.
• Практики конфіденційності організації, зокрема те, як вона збирає та використовує дані користувачів.

Це може відвернути користувача від продукту — або принаймні підвищити його обізнаність про його профіль безпеки з часом. Наприклад, деякі Інтернет-браузери добре відомо, що за своєю суттю ризикованіші за інші. Що, якби вони прийшли з попереднім рейтингом безпеки? Користувачі можуть покладатися на цей рейтинг, щоб вирішити, чи готові вони йти на компроміс між функціональністю та безпекою.

Роль споживача в безпеці програмного забезпечення

З такою кількістю програмного забезпечення в руках користувачів цілий день, кожен день, для них вкрай важливо почати власну перевірку безпеки та конфіденційності програмного забезпечення та пристроїв, які вони використовують. Більшість користувачів зосереджуються лише на налаштуванні важливих для них функцій і програм. Незважаючи на те, що деякі з них є важливими функціями зручності, користувачі також повинні усвідомлювати, що є багато іншого. Програми, які вони використовують, взаємодіють із налаштуваннями операційної системи, що може призвести до того, що програма наражає їх на більший ризик.

Наша роль як викладачів безпеки та постачальників програмного забезпечення має полягати в тому, щоб спонукати користувачів переглядати всі налаштування за замовчуванням у новому готовому програмному забезпеченні та пристроях і вносити необхідні зміни. На жаль, для більшості користувачів це непросте завдання.

Наразі доступні посібники, які допомагають користувачам орієнтуватися в налаштуванні найважливіших параметрів, що дає їм можливість вибрати баланс між функціональністю, безпекою та конфіденційністю. Наприклад, Consumer Reports опублікував свій «Посібник із цифрової безпеки та конфіденційності», щоб допомогти споживачам залишатися в безпеці в Інтернеті, контролювати онлайн-відстеження та захистити телефони та ноутбуки від зловмисників. Незважаючи на те, що ці посібники корисні, надто мало користувачів читають їх і користуються ними. Проста система оцінки безпеки, яка відповідає ширшій політики кібербезпеки нинішньої адміністрації може гарантувати, що споживачі розуміють основи того, як захистити себе — а також своє програмне забезпечення та пристрої — у безпеці та безпеці.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/consumer-software-security-assessment-should-we-follow-nhtsas-lead