- Кибератаки и программное обеспечение-вымогатели растут, поскольку устройства все еще поставляются со старыми, легко эксплуатируемыми уязвимостями безопасности.
- «Безопасный по замыслу» означает, что кибербезопасность должна быть встроена в технологии, а не оставлена на усмотрение пользователей — тем не менее, многие компании не принимают этот подход из-за слабых рыночных стимулов.
- Ключевые решения, которые получают поддержку, включают юридические санкции для небрежных компаний, более четкие указания от правительства, большую прозрачность продуктов, требования к цепочке поставок, сосредоточенные на безопасности, и повышенные стандарты киберстрахования.
- Ответственность через регулирование и спрос со стороны потребителей может привести к более безопасным продуктам и реальным изменениям в технологической отрасли.
- Долговременная цифровая безопасность требует изменения ответственности — безопасность должна быть стандартной функцией, а не второстепенным вопросом, поскольку зависимость общества от подключенных технологий углубляется.
За каждым светящимся экраном — на вашем столе, в вашем автомобиле, в вашем кармане — разгорается невидимая битва. Киберпреступники исследуют швы наших устройств, ища уязвимости. Но по мере роста атак и увеличения заголовков о программном обеспечении-вымогателе остается упрямое правда: наша технология все еще слишком легко поддается взлому. Несмотря на широкие обещания и смелые инициативы правительства, цифровой мир продолжает держаться за уязвимости, существующие десятилетиями, подвергая миллионы риску с каждым кликом.
Почему технологические компании не могут создавать более безопасные продукты с самого начала? Это не из-за недостатка знаний. По всему миру такие агентства, как Агентство кибербезопасности и безопасности инфраструктуры США и Национальный центр кибербезопасности Великобритании, кричат с крыш о «безопасности по замыслу» — идее о том, что цифровая безопасность не должна лежать на плечах каждого пользователя, а должна быть встроена в устройства и программное обеспечение, на которые мы полагаемся. Тем не менее, известные уязвимости продолжают существовать в продуктах, используемых некоторыми из крупнейших организаций мира. Результат? Волны атак, которые охватывают целые отрасли, обычно эксплуатируя уязвимости, которые разработчики могли (и должны были) закрыть.
На недавнем саммите по кибербезопасности в Великобритании возник поразительный консенсус среди ведущих экспертов: препятствием является не технология, а рыночные силы. Сегодняшняя экосистема программного обеспечения переполнена талантами и технической экспертизой, но экономические стимулы значительно отстают. Компании, которые вкладывают ресурсы в надежную безопасность, не видят немедленных вознаграждений на кассе. Те, кто экономят, часто сталкиваются лишь с легким наказанием, в то время как их клиенты расплачиваются, когда происходят утечки.
Итак, как мы можем изменить ситуацию? Пять стратегий набирают популярность:
- Реальные последствия за небрежность. Некоторые лидеры утверждают, что компании, поставляющие продукты с безрассудными, хорошо известными уязвимостями — такими как печально известная SQL-инъекция — заслуживают большего, чем публичное порицание. Они должны столкнуться с юридическими санкциями и крупными штрафами, отзывая правила, увиденные в Законе о безопасности продуктов и телекоммуникационной инфраструктуре Великобритании, где небрежные стандартные пароли теперь могут стоить производителям дорого. Но не все согласны. Противники беспокоятся о «безопасности через юристов», предупреждая, что это может вызвать бесконечные судебные иски, не улучшая результаты.
- Ясные, действенные указания от правительств. Стандарты безопасности должны иметь зубы, но также и прозрачность и простоту. Такие организации, как NCSC Великобритании и Канадский центр кибербезопасности, стремятся свести последнюю информацию о угрозах к практическим кодексам поведения — давая советам и руководителям уверенность в том, чтобы делать инвестиции в безопасность. Это методичка, которую необходимо постоянно обновлять по мере эволюции киберрисков.
- Освещение черного ящика. Прозрачность — недооцененное оружие. Если покупатели могли бы легко сравнить, какие бренды инвестируют в безопасность, а какие экономят, рынок начал бы наклоняться. В 2024 году США запустили обязательство «Безопасный по замыслу» для производителей программного обеспечения, поощряя публичные обязательства по соблюдению лучших практик. Великобритания создает независимые лаборатории для проверки заявлений поставщиков, предлагая клиентам информированный выбор. Когда покупатели требуют лучшей безопасности, рынок реагирует.
- Давление со стороны цепочки поставок. Некоторые отрасли, такие как оборона США, установили высокие стандарты безопасности для поставщиков, приводя цепочку поставок в порядок. Другие, такие как телекоммуникации, отстают. С глобальной торговлей, более взаимосвязанной, чем когда-либо, влиятельные покупатели могут установить ожидания — заставляя поставщиков соответствовать.
- Растущая тень киберстрахования. По мере роста атак страхование стало обязательным для многих компаний. Страховщики поднимают планку, требуя основных мер, таких как многофакторная аутентификация, прежде чем подписывать полис. Эти требования тихо устанавливают минимальный стандарт, подталкивая организации к лучшим привычкам. Страховщики могли бы пойти дальше, публикуя отчеты о худших правонарушителях и самых распространенных ошибках, вооружая общественность знаниями.
Ставки не могут быть выше. Наши больницы, электросети, города и даже детские игрушки зависят от сетей кода, полных ловушек. Последствия небрежности сказываются на обществе: разрушительные взломы, захваченные системы и утраченные доверия.
Компании, правительства и отдельные лица должны все отказаться от вчерашней дефектной технологии. Требуйте больше от поставщиков, награждайте тех, кто встраивает безопасность в свои проекты, и поддерживайте смелую политику, чтобы привлечь к ответственности небрежных участников.
Великая цифровая трансформация не состоится, если безопасность не станет такой же основной, как кнопка питания. Следующая глава зависит не только от блестящей инженерии, но и от готовности каждого заинтересованного лица — производителей, покупателей, регуляторов — настаивать на том, что кибербезопасность должна быть стандартной функцией, а не роскошным дополнением.
Для получения дополнительной информации о том, как агентства справляются с цифровыми угрозами по всему миру, посетите CISA и NCSC.
Ключевой вывод: Мечта о технологии «безопасный по замыслу» остается незавершенной — не из-за недостатка навыков, а из-за недостатка коллективной воли. Если мы потребуем больше, рынок ответит. Но время идет.
9 шокирующих причин, почему ваша техника все еще небезопасна (и как защитить себя сегодня)
# Почему наша технология все еще так уязвима? Удивительные факты, решения и что вы можете сделать
Несмотря на постоянные заголовки о кибератаках и растущий хор, требующий «безопасных по замыслу» продуктов, большинство наших устройств — от смартфонов до критической инфраструктуры — остаются тревожно легкими для взлома. Разговор обычно сосредоточен на громких атаках программного обеспечения-вымогателя, но основные проблемы более глубокие, вызванные рыночной динамикой, устаревшими процессами и смешанными стимулами.
Давайте углубимся в то, что пропустила исходная статья, расширим реальные решения, отраслевые тенденции и дадим вам немедленные, практические рекомендации по защите себя и вашей организации.
—
Скрытые факты: что вам нужно знать
1. Технические решения существуют — так почему они не используются?
Многие основные лучшие практики безопасности, такие как валидация ввода, брандмауэры с отказом по умолчанию и безопасные механизмы обновления, хорошо известны и широко доступны. Проблема не в недостатке знаний — это часто затраты и давление скорости, заставляющее компании быстро поставлять продукты, иногда игнорируя известные уязвимости ([Блог безопасности Microsoft](https://www.microsoft.com/)).
2. Безопасное кодирование редко поощряется
Несмотря на десятилетия предупреждений, исследования показывают, что команды программного обеспечения редко оцениваются по тому, сколько уязвимостей существует в их коде ([Институт SANS](https://www.sans.org/)). Вместо этого метрики все еще вращаются вокруг скорости и доставки функций.
3. Программы вознаграждения за ошибки против долга по ошибкам
Программы вознаграждения за ошибки (где исследователи получают деньги за нахождение уязвимостей) выявили тысячи ошибок в широко используемых продуктах. Однако многие критические уязвимости сохраняются в течение многих лет, и не все поставщики быстро реагируют на раскрытия.
4. Растущий лабиринт соблюдения требований
Регуляторные рамки, такие как GDPR, CCPA и предстоящая директива NIS2, заставляют компании более серьезно относиться к киберрискам, но иногда приводят к формальному соблюдению требований, а не к значительным улучшениям.
5. ИИ как двусторонний меч
Инструменты ИИ теперь используются как для автоматизации тестирования безопасности, так и злоумышленниками для более быстрого нахождения уязвимостей. По данным CISA, гонка ускоряется.
—
Шаги по действиям: что вы (и ваша организация) можете сделать немедленно?
Шаг 1: Требуйте прозрачности
— Настаивайте на политиках раскрытия уязвимостей от поставщиков.
— Спросите, какие рамки безопасности они соблюдают (например, ISO 27001, SOC 2).
Шаг 2: Реализуйте основные меры защиты
— Всегда включайте многофакторную аутентификацию (MFA).
— Держите программное обеспечение/прошивки обновленными.
— Удалите или измените все стандартные пароли.
— Регулярно проверяйте доступ пользователей и отменяйте ненужные разрешения.
Шаг 3: Применяйте контроль рисков цепочки поставок
— Используйте инструменты, такие как «Счет-фактура программного обеспечения» (SBOM), для отслеживания происхождения кода ([OpenSSF](https://openssf.org/)).
— Покупайте только у поставщиков, проверенных третьими сторонами.
—
Примеры из реальной жизни
— Здравоохранение: Атаки программного обеспечения-вымогателя на больницы нарушают уход за пациентами, но большинство из них происходит из-за плохих политик паролей и устаревших систем.
— Критическая инфраструктура: Взлом Colonial Pipeline (2021) использовал один скомпрометированный пароль без MFA.
— Устройства IoT: Уязвимости умных игрушек привели к утечкам данных, но действия Великобритании и ЕС подталкивают к лучшим базовым мерам защиты по закону.
—
Споры, ограничения и нерешенные вопросы
— Наказание за небрежность: Юридические санкции могут препятствовать инновациям или привести к «чекбоксной» безопасности, которая не учитывает дух защиты.
— Ответная реакция на прозрачность: Принуждение компаний раскрывать все инциденты может раскрыть коммерческие тайны или помочь хакерам.
— Является ли киберстрахование костылем? Критики утверждают, что это может позволить компаниям передавать риски вместо того, чтобы решать основные проблемы.
—
Характеристики, спецификации и цены: Продукты «безопасный по замыслу»
— Ищите устройства/программное обеспечение, сертифицированные по стандартам, таким как «Киберосновы» (Великобритания) или подтвержденные NCSC.
— Продукты с регулярными OTA (по воздуху) обновлениями и настраиваемыми функциями безопасности, такими как аппаратное шифрование, могут стоить дороже на начальном этапе, но снизят затраты на утечки в долгосрочной перспективе.
—
Отраслевые тенденции и прогнозы
— К 2025 году Gartner прогнозирует, что 60% организаций будут использовать киберриски как основное определение в партнерских отношениях с третьими сторонами.
— Архитектура нулевого доверия — никогда не доверяйте автоматически внутреннему/внешнему трафику — станет новым стандартом ([Gartner](https://www.gartner.com/)).
— США и ЕС оба рассматривают обязательные «ярлыки безопасности» на потребительских устройствах (аналогично этикеткам на продуктах питания).
—
Обзор плюсов и минусов
Плюсы «безопасного по замыслу»
— Меньше сбоев в бизнесе из-за атак.
— Конкурентное преимущество на рынках, ориентированных на безопасность.
— Более низкие страховые премии.
Минусы
— Увеличенные первоначальные затраты на разработку.
— Более длительное время выхода на рынок.
— Постоянные затраты на соблюдение требований.
—
Безопасность и устойчивость
Устойчивый кибербезопасность учитывает не только реагирование на инциденты, но и безопасность жизненного цикла продукта — от проектирования до утилизации. Электронные отходы (устройства, которые больше не поддерживаются с обновлениями безопасности) остаются большим, часто игнорируемым вектором риска.
—
Обзоры и сравнения
— Apple против Android: Запертый сад Apple снижает определенные риски, но обе платформы сталкиваются с проблемами безопасности цепочки поставок.
— Microsoft Windows против ChromeOS: Фокусированное проектирование ChromeOS вокруг веб/облачных операций предоставляет более простую поверхность атаки, но ограничивает поддержку устаревших приложений.
—
Самые актуальные вопросы
Вопрос 1: Почему у нас нет минимальных стандартов безопасности для всех устройств?
Глобальное регулирование отстает от инноваций; однако новые законы в США, Великобритании и ЕС догоняют.
Вопрос 2: Могут ли покупатели принимать более разумные решения прямо сейчас?
Да! Выбирайте поставщиков, которые публикуют показатели безопасности, предоставляют сертификаты третьих сторон и имеют прозрачные политики патчирования.
Вопрос 3: Что насчет устаревших IT-систем — старых, но критически важных систем?
Сегментируйте старые системы, отключите ненужный сетевой доступ и приоритизируйте патчинг или замену наиболее уязвимых.
—
Немедленные советы
— Смените все стандартные пароли и включите MFA на каждой учетной записи — немедленно.
— Перед покупкой технологий спросите у поставщика последний отчет о безопасности.
— Подпишитесь на уведомления о угрозах от CISA и NCSC для получения последних лучших практик.
—
Практические рекомендации
— Настаивайте на «безопасном по замыслу» как на обязательном требовании в контрактах на закупку.
— Награждайте поставщиков за быстрое патчирование и ответственные программы раскрытия.
— Поддерживайте более сильное образование в области безопасности на каждом уровне — конечные пользователи, руководители и разработчики.
—
У вас больше власти, чем вы думаете. Каждое требование о более безопасной технологии — каждый раз, когда вы задаете трудные вопросы — приближает нас к миру, где кибербезопасность не является второстепенным вопросом. Для получения дополнительной информации и официальных рекомендаций посетите CISA или NCSC сегодня.
Не ждите следующей утечки — сделайте безопасность своей стандартной настройкой прямо сейчас.