网络攻击曾是数字革命催生的一项小众技术,如今已发展成为当今企业面临的最大威胁。尽管安全漏洞会带来严重后果,包括责任增加和政府监管不断加强,但组织仍然无法阻止攻击者。从外部来看,似乎可以得出这样的结论:我们将尽一切努力来保护数字基础设施。然而,我们发现事实并非如此。许多组织继续推迟采用现代流程、最佳实践和关键工具。
为什么呢?
简单的事实是,在实施有效措施时,人们缺乏动力。不过,并不奇怪。人类天生就有拖延的倾向——这种倾向在心理学和行为 经济学研究中都有充分的记录。
这种倾向通常被称为时间折扣,解释了为什么人们会推迟那些能带来长期利益的重要任务,而选择立即满足。我们在生活的各个方面都能看到这种行为。我们都知道有人很少定期保养他们的汽车,推迟每年的健康检查,或者没有积极考虑如何在退休后养活自己。即使你没有推迟这些重要的生活任务,我们都有这样的经历:直到为时已晚或别无选择时才采取必要的行动。
当我们的拖延症变得如此严重和有害时,政府将抵制这种自然倾向。例如,最近的法规已使员工自动加入现有的退休计划——此类政策通过优先选择退出而不是选择加入来对抗拖延症。这一相对较小的转变创造了一个流程,大大提高了参与率,并有助于确保每个人都有足够的退休储蓄。
我们需要类似的机制来克服导致当今软件组织安全实践不佳的惰性。虽然克服时间折扣的挑战似乎难以克服,但我们还是有希望战胜拖延的天性。
加强政府行动:立法的作用
积极解决拖延问题需要通过严格的执法机制采取“大棒”政策。联邦贸易委员会 (FTC) 和美国证券交易委员会 (SEC) 等监管机构可以通过对不遵守安全软件开发标准的行为处以重罚发挥关键作用。通过对未采用安全开发实践的行为实施不小的经济处罚和追究刑事责任,组织将有更大的动力认真对待网络安全。
处罚是对责任和罪责的声明,它不是关于引入新法规的重要性,而是要求组织对其软件的安全性负责。任何其他制造业都不允许使用已知会造成危害的程序或标准而不承担责任。软件制造商也必须遵守同样的期望。考虑到现代软件对日常生活的重要性,软件制造商不应逃避对其产品安全性的责任。
汽车和食品安全的教训
施加责任和强制安全标准的概念并不新鲜。在拉尔夫·纳德的著作《任何速度都不安全》引发公众强烈抗议后,汽车行业的安全性得到了显著改善。这种转变不是自愿的,而是由严格的法规和国家公路交通安全管理局 (NHTSA) 的成立推动的。同样,食品和药物管理局 (FDA) 等机构执行的食品安全法规确保产品在到达消费者手中之前符合特定的安全标准。
软件行业需要一个与 NHTSA 相当的机构,即一个负责执行安全标准并追究制造商不合规责任的机构。一个潜在的机构是联邦贸易委员会。FTC 的职责是防止不公平或欺骗性的贸易行为,它可以通过增加对未能保护消费者数据的公司采取执法行动的频率和严厉程度,在软件制造责任方面发挥关键作用。
更多指导与时间折扣
一些确保软件开发安全的最佳指南侧重于实施自动更新和补丁。这种方法有助于确保软件在无需用户干预的情况下保持安全。最近,网络安全基础设施和安全局 (CISA) 和国家标准与技术研究所 (NIST) 已指示软件组织制作和维护软件物料清单 (SBOM),确保采购和消费者了解他们购买的软件中组件的质量和风险。
采用指导和最佳实践的差距并不是缺乏教育。拖延导致许多软件制造商忽视安全软件的重要性,就像许多人忽视退休储蓄的重要性一样。谈到软件安全,我们的集体责任超越了讨论。行业领导者、政策制定者和消费者必须团结起来,在软件生态系统中培育安全文化。
通过政策和执行来对抗拖延症
回顾《关于改善国家网络安全的行政命令》,信息很明确:软件必须从设计上保证安全。为了实现这一目标,CISA、NIST 等政策制定者必须要求软件制造商遵守安全设计原则。加强政府行动,例如责任改革和更积极地执行现有法规,例如 FTC 的公平贸易规定,可以帮助对抗自然拖延并解决导致安全结果不佳的市场失灵问题。
那些有望取得最大成功的组织会明白,在优先考虑当前业务需求和长期安全投资之间做出选择是一种错误的二分法。经济激励措施,例如投资于强大的网络安全措施的税收减免或满足高安全标准的认证,可以进一步激励组织优先考虑安全。相反,对不合规行为处以罚款和制裁,会从经济上抑制拖延,迫使公司迅速采取行动。
原文地址:https://www.darkreading.com/vulnerabilities-threats/human-nature-is-causing-our-cybersecurity-problem
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...