Amerikkalaisviranomaiset ovat julkaisseet yhteistyötahojensa kanssa uuden ohjeiston turvattujen ohjelmistojen suunnitteluun. Mukana on Yhdysvaltain lisäksi vastaavat viranomaistahot Kanadasta, Britanniasta, Saksasta ja Hollannista sekä Australiasta ja Uusi-Seelannista.
Uusi turvattujen ohjelmistojen suunnitteluohjeisto kehottaa kaikkia valmistajia ryhtymään kiireellisiin toimenpiteisiin, jotka näkyisivät tulevaisuudessa aiempaa parempina ja turvatumpina ohjelmina ja tuotteina. Valmistajia kehotetaan uudistamaan nykyisiä suunnittelu- ja kehitysohjelmiaan, jotta asiakkaille voitaisiin toimittaa paremmin suojattuja ja oletusasetuksillaan turvallisia tuotteita.
’’Shifting the Balance of Cyber Security Risk: Principles and Approaches for Security by Design and -Default” -ohjeisto on tiivis kolmetoistasivuinen tietopaketti parhaista turvattujen ohjelmistojen toteuttamisen käytännöistä ja suosituksista. Teknisten suositusten lisäksi ohjeissa esitetään keskeisiä periaatteita, jotka ohjaisivat ohjelmistovalmistajia suojauksien rakentamiseen ja uudenlaisiin suunnitteluprosesseihin.
Uuden suunnitteluohjeiston mukaan esimerkiksi suojatun konfiguraation tulisi olla oletusperustaso, jossa tuotteet mahdollistavat automaattisesti tärkeimmät suojaustoimenpiteet, joita tarvitaan yritysten suojaamiseksi haitallisilta kybertoimijoilta. Alan toimijoiden tulisi hyväksyä ohjeiston mukaan suora läpinäkyvyys ja vastuullisuus niin että ohjelmistoihin liittyvät yleiset haavoittuvuus- ja altistumistiedot (CVE) ovat täydellisiä ja tarkkoja.
Ohjelmistojen kehittäjillä tulisi olla ohjeiston mukaan myös organisaation oikea rakenne ja johdon sitoumus tietoturvan tärkeydestä. Niiden kautta voidaan varmistaa, että valmistajat todella integroivat tietoturvan tuotteidensa suunnittelun varhaisimpiin vaiheisiin.
Uuden julkaistun suunnitteluohjeiston takana ovat Yhdysvaltojen kyberturvallisuuden ja infrastruktuurin turvallisuusvirasto (CISA), liittovaltion tutkintavirasto (FBI), kansallinen turvallisuusvirasto (NSA) ja Australian, Kanadan, Yhdistyneen kuningaskunnan, Saksan, Alankomaiden ja Uuden-Seelannin kyberturvallisuusviranomaiset (CERT) NZ, NCSC-NZ).
Lisää: Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default -tiedote ja linkki pdf-pohjaiseen ohjeistodokumenttiin (LINKKI) sekä Uusiteknologia.fi:n aiempi 16.9.2022 aluetta käsitellyt tietoturvauutinen (LINKKI).
Kuvituskuva: Shutterstock