הנשיא ביידן מורה על סימון הבטיחות של התוכנה והתקשורת לצרכן של רשימת המרכיבים ממנה היא מורכבת. המטרה היא לאשר את מקור המוצר, אמינותו ובטיחותו. צו הביצוע "שיפור אבטחת הסייבר של האומה" ניתן במאי האחרון ובשבועות האחרונים החלו להגיע התגובות הטכניות-ארגוניות הראשונות של הסוכנויות הפדרליות והעולם האקדמי והתעשייתי.
לבסוף, כך נראה.
יותר מדי חורי אבטחה, יותר מדי שחקנים זדוניים שהתקשו לאורך השנים. למעשה, מעתה והלאה יהיה צורך בהקמת נהלי מעקב מוכחים כדי להדגים כי התוכנה נוצרה בסביבה בטוחה, על פי שיטות פיתוח ובדיקות טובות; ויהיה צורך לתת את הדעת על מקורם של קודי המקור, המאשר אותם בעזרת חפצים סטנדרטיים. ולבסוף, משתמשים לא יצטרכו עוד להכיר בתנאי השימוש, אלא להוסיף תווית בטיחות ותו"ח (Software Bill Of Materials): כתב החומרים המפרט את הרכיבים ומקורם.
בקיצור, רכישת תוכנה בסופו של דבר תהיה דומה מאוד לכשתצטרך לרכוש את מכונת הכביסה החדשה, הקפד לבדוק את תיוג האנרגיה כדי לבדוק צריכת חשמל או זיהום רעש; או באופן דומה כאשר אנו משוטטים במעברים של סופרמרקטים, מתוך כוונה לבדוק את טבלת המרכיבים של הביסקוויטים בחיפוש אחר הבריאים, האמיתיים ביותר, אפס קילומטר, עם פחות קלוריות וללא אלרגנים. או שוב כאשר במסעדה אנו מחפשים את בקבוק היין האיכותי, מבקש את ה- DOC ולא את זה המסומן באחד ייעוד המוצא ומובטח.
אבל בואו נלך לפי הסדר וננסה להבין מה קורה. ובמיוחד אם זה יספיק באמת.
בחודשים האחרונים יצאו לממשלה האמריקאית שתי יוזמות מבניות: הראשונה, שמטרתה להבטיח את שרשרת אספקת התוכנה; השני, שמטרתו להביא את הסביבה הטכנולוגית של מערכות בקרה תעשייתיות לרמת אבטחת סייבר השווה לפחות לזה שהושג כעת במערכות IT.
שרשרת אספקת התוכנה מפותחת כעת ומפוזרת באופן נרחב, עד כדי כך שאפשר לומר ש"כל מי שמייצר תוכנה ". ובתפיסה של "כל אחד" יש את זה - הקשור - ל"בלתי מוגדר ", המהווה כיום את הפגיעות העיקרית בבסיס רוב תקריות המחשב: לא רק שאיננו יודעים מיהו בדיוק המחבר של התוכנה בה אנו משתמשים, שאליו ניתן לאתר אחריות אזרחית, פלילית ומנהלית בגין נזק שנגרם או בגלל החשיפה בפועל לסכנות; אך איננו יודעים אפילו אם מישהו זה, גם כאשר פעל בתום לב, הצטייד במשאבים, במבנים ובטכניקות הפעלה כדי לפתח ולבדוק את המוצר בבטחה, וכן בקרות נאותות המונעות התעסקות.
וכל זה, אם הוא תקף באופן כללי לכל התוכנות, מניח ערך מכריע לקטגוריה של תוכנות קריטיות כביכול, כלומר כאלה המבצעות פונקציות ערבות ואבטחה, כגון אלה הדרושות לניהול ואימות זכויותיהם של מנהלי מערכות. או המאפשרים גישה ישירה למשאבי מחשב או רשת.
האסטרטגיה שמונחת, תנסה אפוא להבטיח, בתהליכים ניתנים לשחזור ואימות, את שלושת הממדים הללו: מחבר, בטיחות ואמיתיות. בואו נראה איך.
מתחילים לצפות כי תוכנות ייווצרו בסביבות פיתוח שממוחזרות ביחס לאלה בהן ייבחנו לאחר מכן, כמו גם כאלה בהן הן ישמשו - כאשר תפעול מלא - ישמשו אותן; והמידע לצרכן חייב להעיד על נהלי הבטיחות המשמשים להבטחת הפרדה סביבתית זו. לאחר מכן, יהיה צורך להשתמש באוטומטיזות המאפשרות הן אימות מקור והן תקינות קודי המקור המשמשים לפיתוח התוכנה, וכן חיפוש מתמיד אחר נקודות תורפה ותרופות נלוות. וגם זה חייב להיות מוכר במידע למשתמשים, מבלי להצביע על תיאור קצר של הסיכונים המוערכים והמתונים.
כמו כן יהיה צורך לבצע מלאי בזמן של הנתונים הנוגעים למקורם של קודי המקור או רכיבי התוכנה שאינם מפותחים בבית, כמו גם את הבקרות המיושמות וביקורות המבוצעות על רכיבי התוכנה, השירותים וכלי הפיתוח, הן פנימיים וצדדים שלישיים. יוצאים לדרך. במידת האפשר, יהיה חובה לאשר את תקינותם ומוצאם של תוכנות קוד פתוח המשמשות בתוך כל חלק של המוצר. לבסוף, יהיה צורך להוכיח כי קיימת מערכת בקרה פנימית המסוגלת לחשוף את הפגיעויות המתגלות במוצרי התוכנה בזמן.
עם השלמת או השלמת הפעולות המצוינות לעיל, יהיה צורך ליצור תוויות בטיחות ושטרות חומרים לצרכנים.
יש לצפות שכל זה ישפר משמעותית את המעקב אחר מקור, שלמות ואבטחת התוכנה, אך גם יוביל לעלייה משמעותית בעלויות ההטמעה ולכן במחירים לציבור.
אבל האדם הפשוט, עם הפער הדיגיטלי המאפיין את תרבות ההמונים הנוכחית, רגיל כפי שהוא להוריד תוכנות "סדוקות" ללא עלות מהאינטרנט, האם הוא יהיה מוכן להוציא סכומים שונים באופן משמעותי לרכישת תוכנות מאובטחות מסוג זה? עלינו לפעול במקביל כך, ביחד עם האבטחה של שרשרת אספקת התוכנה, נפעל ליצירת מודעות חדשה להיגיינה דיגיטלית בקרב אלה שירגישו צורך בתוכנות אלה.
אוראציו דנילו רוסו, קרלו מאוסלי
מידע נוסף:
https://www.federalregister.gov/documents/2021/05/17/2021-10460/improvin...
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/...
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity...
