Согласно новому отчету Secure Code Warrior, крупные организации, которые обучают разработчиков безопасности с помощью методов проектирования, могут сократить количество уязвимостей, внесенных в программные продукты, более чем на 50%.
Платформа безопасного кодирования и компания-разработчик программного обеспечения, базирующаяся в Австралии. проанализировали данные 600 компаний-клиентов более девяти лет, чтобы выяснить, какие улучшения, если таковые имеются, можно измерить на основе практики развития навыков Secure by Design, пропагандируемой Агентством по кибербезопасности и безопасности инфраструктуры. Компания изучила данные о снижении уязвимостей и обнаружила, что компании, в которых работают более 7000 разработчиков, обученных использованию методов обеспечения безопасности при проектировании, могут снизить количество уязвимостей на 47–53%.
Крис Инглис, первый бывший директор национальной кибербезопасности, сказал в интервью CyberScoop, что «существует неявное предположение, что нам не нужно защищать эти системы намеренно».
«Теперь у нас есть количественные данные, которые показывают, что это на самом деле правильный вывод: важно обеспечить безопасность по замыслу», — сказал Инглис, который участвовал в подготовке отчета вместе с бывшим исполняющим обязанности директора национальной службы кибербезопасности Кембой Уолден.
Инициатива CISA Security by Design — это добровольная попытка администрации Байдена переложить бремя кибербезопасности с конечных пользователей на поставщиков и производителей. Цель состоит в том, чтобы уменьшить количество кибератак со стороны мелких киберпреступников и хакеров, финансируемых государством, путем устранения известных дефектов в программных продуктах. Программа разработки продуктов также является частью Национальной стратегии кибербезопасности, и с момента запуска этой инициативы в 2023 году в ней зарегистрировались более 200 организаций.
В отчете говорится, что если объединить все тематические исследования, уровень снижения уязвимости составит от 20% до 80%, при этом средние показатели для небольших организаций будут выше.
Однако в отчете также показано, что без мандата сверху вниз, который может принимать форму постановлений или директив руководителей, практика проектной безопасности вряд ли будет принята быстро. По оценкам отчета Secure Code Warrior, около 4% разработчиков во всем мире используют методы разработки CISA, обеспечивающие безопасность при проектировании.
Национальный институт стандартов и технологий заявил, что исправление дефектов программного обеспечения во время тестирования — вместо соблюдения принципов безопасности по принципам проектирования — может занять до 15 раз больше времени, а дефекты во время развертывания могут стоить в 30–100 раз больше ресурсов, отмечается в отчете.
«Если вы не готовы к таким инвестициям, вам не следует писать код для критической инфраструктуры. Я думаю, это главное», — сказал Инглис.
В отчете также отмечается, что сектор финансовых услуг, судя по всему, больше всего инвестирует в инициативу по обеспечению безопасности. Другие секторы критически важной инфраструктуры, такие как оборонно-промышленная база, здравоохранение, общественное здравоохранение, критическое производство, транспорт и ИТ-инфраструктура, также добиваются прогресса в повышении квалификации разработчиков посредством инициатив в области безопасности с самого начала.
В то же время сектор энергетики и коммуникаций не был включен в исследование, поскольку в нем обучалось менее 1000 активных разработчиков. Однако это не значит, что они отстают, считает Матиас Маду, соучредитель и технический директор Secure Code Warrior.
Маду, один из авторов отчета, сказал, что некоторые отрасли в значительной степени полагаются на ИТ-инфраструктуру при покупке программного обеспечения и поэтому не имеют большого количества соответствующих данных. Кроме того, Маду сказал, что не имеет значения, строго ли регулируется этот сектор или нет.
