De hacks van SolarWinds en Colonial Pipeline hebben beveiliging op de voorgrond van softwareontwikkeling gebracht. Nog eens.
En nogmaals, onze “gedachten en gebeden” gaan uit naar de klanten van die bedrijven, en de bedrijven zelf, die door de aanvallen zijn geschaad.
Ik zeg dit omdat we, net als de massale schietpartijen die Amerika teisteren – en alsjeblieft, vergis je deze metafoor niet als een samensmelting van moorden en software-inbreuken – we geen greep op lijken te kunnen krijgen.
In beide gevallen leg ik de schuld bij de industrie. Het is duidelijk dat de wapenindustrie een gevestigd belang heeft bij de verspreiding van wapens, ondanks de menselijke kosten. Op het gebied van software heeft onze branche er belang bij om mensen de tools te geven die ze nodig hebben om sneller te handelen, en de zakelijke gebruikers van hun platforms en tools te beuken met berichten dat als ze de software niet sneller leveren, wispelturige mensen gewoon de winkel zullen verlaten die ze liefde voor een ander wiens website een paar seconden sneller reageert, of die een pakketje een paar uur eerder bij je thuis kan bezorgen.
Sommigen noemen dit misschien ketters, of bijten in de hand die ons voedt. Zo is dit niet bedoeld. Ik ben onder de indruk van de veranderingen die ik al meer dan 20 jaar in deze branche heb gezien. Wie had destijds de cloud, Kubernetes, edge computing of Infrastructure as Code kunnen bedenken?
Maar ondanks alle voordelen die de cloud biedt, hebben we nooit het soort schadelijke hacks en gegevensverlies gezien dat we vandaag zien wanneer applicaties werden uitgevoerd in on-premises datacenters, achter firewalls en met code die niet afhankelijk was van oproepen naar zo veel externe services, dus de aanvalsvectoren waren minimaal. Ransomware? Miljoenen burgerservicenummers en creditcardnummers gestolen? Onaanvaardbaar, en bijna volledig te voorkomen, als onze industrie beveiliging net zo serieus zou nemen als het snel op de markt brengen.
Er is een reden waarom cross-site scripting en SQL-injectie al meer dan tien jaar op de OWASP Top 10 lijst van applicatiekwetsbaarheden staan: organisaties zien beveiliging als een noodzakelijk kwaad, niet als hun eerste prioriteit. Beveiliging, zoals algemene softwaretests, vertraagt de levering. Ondertussen hebben de ‘slechte actoren’ aan de andere kant het inbreken in applicaties en systemen tot hun topprioriteit gemaakt – het is in feite hun reden van bestaan. In de Colonial Pipeline-hack hadden ze 4,4 miljoen goede redenen om de energiepijplijn te gijzelen.
Wat we moeten doen om deze schade te beteugelen, vereist een herschikking van prioriteiten. Beveiliging moet de belangrijkste overweging zijn voor alle softwarereleases. Niet iets dat alleen maar “naar links” kan worden geschoven, en toegevoegd aan de lijst met dingen die ontwikkelaars hen hebben opgedrongen, zonder de nodige kennis en training om het effectief te doen. We hebben de snelheidskar voor het veiligheidspaard geplaatst en dat kost de samenleving veel geld.
Ik kan niet argumenteren tegen veel van de voordelen van snelheid en wendbaarheid voor organisaties. Snel nieuwe functies kunnen leveren op basis van klantverzoeken en gebruikersgegevens is belangrijk voor elk bedrijf. Maar als de kwaliteit te lijden heeft onder onvoldoende testen en als de beveiliging te lijden heeft onder een gebrek aan zorgvuldigheid, dan compenseert dat ruimschoots de voordelen die snelheid biedt.
Alleen al de aanval op de koloniale pijpleiding heeft ertoe geleid dat grote delen van de oostkust geen benzine beschikbaar hebben, en waar het kan worden gekocht, is de prijs op sommige plaatsen met bijna een dollar per gallon gestegen.
Sommigen hebben de overheid opnieuw opgeroepen om het voortouw te nemen op het gebied van cybersecurity op onze vitale infrastructuur. Deze column sprak ooit steun uit voor dat idee, toen datalekken en identiteitsdiefstal voor het eerst begonnen op te treden. Maar de federale inspanningen om wapengeweld te beheersen – of zelfs om te voorkomen dat buitenlandse regeringen zich in onze verkiezingen mengen – laten zien dat ze deze crisis ook niet aankunnen.
Nee, het is aan onze industrie om het idee te veranderen dat beveiliging een noodzakelijk kwaad is waaraan lippendienst wordt bewezen, zodat de snelheid van innovatie niet wordt belemmerd. Misschien is het omdat software-inbreuken meestal alleen leiden tot geldverliezen en – in tegenstelling tot de wapenindustrie – niet tot mensenlevens. Misschien, net als de cultuurveranderingen die nodig zijn om veel van de nieuwe processen die zijn gecreëerd voor softwareontwikkeling te implementeren, vereisen inspanningen op het gebied van beveiliging nog meer tijd en gezamenlijke inspanning om te bereiken.
Toch blijf ik optimistisch dat beveiligingsinitiatieven die vandaag worden ingevoerd, kunnen leiden tot het vertragen van de invasie van onze systemen en het stoppen van het bloeden van gegevens. Er zal een hernieuwde toewijding nodig zijn om van beveiliging de hoogste prioriteit te maken bij het leveren van software
CreditSource link