Dasturiy taʼminot ishlab chiqaruvchilari xavfsizlik kamchiliklari(vulnerability) boʻlgan mahsulotlarni ishlab chiqarish bilan barcha kiberhujumlarning asosiy aybdorlari hisoblanadi. Hech boʻlmaganda, AQSh Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) rahbari Jen Easterly yaqinda boʻlib oʻtgan mWise konferentsiyasida shunday degan.

Easterly texnologiya kompaniyalaridan nuqsonli kodni ishlab chiqarishni toʻxtatish va kiberjinoyatchilar uchun yoʻl ochishni toʻxtatishga chaqirdi. Uning taʼkidlashicha, aynan texnologiya provayderlari hujumchilar oʻz qurbonlariga muvaffaqiyatli hujum qilish uchun foydalanadigan muammolarni yaratadi.

Shuningdek, u dasturiy taʼminotdagi xavfsizlik kamchiliklarini “zaifliklar” deb emas, balki “mahsulot nuqsonlari” deb atash kerakligini taʼkidlab, bu ishlab chiqaruvchilarning masʼuliyatini aniqroq aks ettiradi. Uning fikricha, sanoat foydalanuvchilarni oʻz vaqtida yangilanishlarni oʻrnatishga ulgurmayotgani uchun ayblashni toʻxtatishi va ishlab chiqaruvchilardan doimiy “juda muhim patchlar” ni talab qilmaydigan yuqori sifatli mahsulotlarni talab qilishni boshlashi kerak.

Easterly kiberxavfsizlikka milliardlab dollar sarflanishiga qaramay, asosiy muammo dasturiy taʼminotning past sifatida ekanligiga eʼtibor qaratdi. U vaziyatni avtomobillar va samolyotlar bilan solishtirdi, ularni hech kim oʻz xavfiga ishlatish sharti bilan sotib olmas edi, chunki dasturiy taʼminot bilan tez-tez sodir boʻladi.

Ilgari RSA konferentsiyasida soʻzlagan Easterly ishonchli kod kiberhujumlarni kamdan-kam hollarda sodir boʻlishiga olib keladigan yagona yoʻl ekanligini aytgan edi. mWise konferentsiyasida u kiberxavfsizlik sanoati oʻz eʼtiborini himoyalangan mahsulotlarni yaratishga qaratishi kerakligini va himoya vositalarini koʻpaytirishga emasligini takrorladi.

Hozirda CISAning “Secure by Design” tashabbusiga, yaʼni kompaniyalarning mahsulotlarning xavfsizligini yaxshilash boʻyicha majburiyatlariga Amazon, Microsoft va Google kabi bozorning 200 ga yaqin yirik ishtirokchilari qoʻshilgan. Biroq, Easterly bu hali ham ixtiyoriy majburiyat ekanligini taʼkidlab, mijozlarni xarid qobiliyatidan foydalanib, etkazib beruvchilardan ushbu standartlarga rioya qilishni talab qilishga chaqirdi.

Xulosa qilib aytganda, CISA rahbari tashkilotlarni vaziyatga faol taʼsir koʻrsatishga, etkazib beruvchilardan toʻgʻri savollar berishga va dasturiy taʼminotni ishlab chiqishning barcha bosqichlarida xavfsizlikka koʻproq eʼtibor berishni talab qilishga chaqirdi.