Программное обеспечение и судебные иски.
Белый дом предлагает пересмотреть поле программной разработки из-за отсутствия ответственности разработчиков за недостатки безопасности. Обсуждается вопрос о том, как определить уязвимости и привлечь разработчиков к ответственности.
Когда Белый дом представил свою Национальную стратегию кибербезопасности в марте, в администрации предложили, что, поскольку разработчики программного обеспечения избегают ответственности за недостаток безопасности своего продукта, необходимо пересмотреть эту область.
Полное избегание уязвимостей, вместо определения тех, которые могут повлечь за собой судебные иски, является хорошей целью, по мнению Джека Данахи из компании NuHarbor Security. Данахи заявил IT Brew, что на его взгляд, комплексная проверка отошла на второй план отчасти из-за отсутствия ответственности разработчиков, которую им предоставила ограниченная ответственность (limited liability).
«Мы пытаемся определить уязвимость как то, что делает вас ответственными, вместо попытки избежать уязвимости»,
- сказал вице-президент по продукту и инжинирингу.
Использование нормативных мер для того, чтобы заставить поставщиков программного обеспечения лучше заботиться о своих продуктах, может быть эффективным. GitHub CSO Майк Ханли заявил IT Brew на RSA 2023, что "оптимистический случай заключается в том, что, перекладывая некоторые из этих стимулов и обязательств на производителей программного обеспечения, мы сможем достичь лучших результатов".
«Сегодня мы знаем, что если есть уязвимость или дефект программного обеспечения, дело не только в том, что оно катится вниз», — продолжил он. «Она катится вниз по склону, пока не раздавит конечного потребителя, который не имеет возможности предъявить претензии, выбрать другие варианты или получить компенсацию – это цена их участия в этой экосистеме».
Однако факторы риска могут меняться, и разработчики не всегда могут предсказать, какие виды эксплойтов будут использованы против их технологии. Этот страх может привести к тому, что компании откажутся от инноваций ради того, чтобы избежать судебных исков - опасность, которую Данахи признает, но считает, что это серьёзная проблема, поскольку будут приняты меры безопасности и процедуры обнаружения для предотвращения атак.
«Поступая правильно, вы устраняете огромное количество возможных точек для атак и уязвимостей, которые в противном случае существовали бы», — сказал он.
Генеральный директор Oak9 Ом Вяс заявил IT Brew, что, хотя в каждом действии правительства всегда есть две стороны, конечная цель стратегии ответственности администрации хороша и перевешивает заботы о инновациях и сложностях. Однако период адаптации будет настоящим испытанием.
«В ближайшей перспективе это будет трудно для многих организаций», - сказал Вяс. «Но я думаю, в долгосрочной перспективе признание собственности и ответственности действительно будут намного более продуктивными».
К размышлению:
- Как это скажется на сроках и сложности разработки, которая и так, особенно в больших компаниях, сейчас очень забюрократизирована?
- Как и когда это всё может перекочевать в ЕС и СНГ?
- И самое главное, будет ли это эффективно вообще?
Теги: Новости, Разработка ПО, Гос. регулирование