Търсене
Close this search box.

Разработчиците на софтуер са ключова част от работната сила в областта на киберсигурността

Преди четири години и половина, като студент, изучаващ компютърни науки, написах в Harvard Business Review нещо, което тогава ми се струваше просто забележка: Не ми беше необходимо да посещавам курсове по киберсигурност, за да се дипломирам, както и на моите връстници в 23 от 24-те най-добри университета по компютърни науки.

Сега сме 2024 г. и след като през последните няколко години станахме свидетели на някои от най-наглите атаки с цел получаване на откуп и все по-смели кибератаки на противници от национални държави срещу федералното правителство, киберсигурността в обучението по информатика продължава да бъде избираема дисциплина. Всъщност този списък на 24-те най-добри университета в областта на компютърните науки не се е променил: 23 все още не изискват киберсигурност. Киберсигурността се разглежда като поддисциплина, подобно на графиката или взаимодействието между човека и компютъра – а не като основни знания, с които всеки бъдещ разработчик на софтуер трябва да разполага при постъпването си на работа. Това е неприемливо. Твърде често атаките използват прости слабости, които всеки разработчик с основни познания по сигурността би могъл да спре.

 

Отдавна е време академичните среди да преосмислят ролята си в създаването на кадри за разработване на софтуер, които дават възможност за все по-опасни кибератаки. Докато киберсигурността остава избираема дисциплина, твърде много разработчици на софтуер няма да имат дори основни познания за сигурността и ще продължат да дават приоритет на скоростта на пускане на пазара пред сигурността и безопасността на своите клиенти. Истината е, че това, което традиционно разглеждаме като работна сила в областта на киберсигурността, само по себе си няма да промени из основи състоянието на киберсигурността. За да насърчим дългосрочната киберсигурност, трябва да гарантираме, че разработчиците на софтуер и бизнес лидерите могат да вграждат сигурност от самото начало.

През март 2023 г. Белият дом издаде Национална стратегия за киберсигурност, в която призовава за фундаментално прехвърляне на отговорността от най-малко способните – като физическите лица и малките предприятия – към най-способните, а именно производителите на технологии. В последвалата Национална стратегия на Белия дом за работната сила и образованието в областта на киберпространството директно се признава необходимостта от знания за сигурността при разработването на софтуер, като се посочва, че “участниците в процеса на разработване на софтуер – от бизнес лидерите до разработчиците на софтуер и продуктовите мениджъри – трябва да бъдат подготвени да управляват последиците за сигурността и неприкосновеността на личния живот на софтуера, който създават”.

Глобалната кампания на CISA “Secure by Design” има за цел да изпълни визията на Националната стратегия за киберсигурност, като подчертае областите, в които различните заинтересовани страни, включително производителите на софтуер и академичните среди, могат да действат. По-специално производителите на софтуер трябва да възприемат основните принципи, изложени в нашия информационен документ “Secure by Design”, за да подобрят киберсигурността на нашата страна.

Тези принципи трябва да се развиват и в академичните среди. През септември бяхме домакини на семинар в рамките на Националния колоквиум за образование по киберсигурност (NCEC), насочен към идентифициране на предизвикателствата при включването на сигурността в учебните програми по информатика. По време на тази интерактивна кръгла маса с преподаватели по информатика и киберсигурност установихме следните ключови проблеми:

  1. Сигурността се разглежда като избираем предмет. Преобладаващата нагласа в областта на компютърните науки е, че сигурността е поддисциплина, а не фундаментална област на знанието. По този начин знанията за сигурността се разглеждат като необходими само за студенти, които проявяват особен интерес или търсят по-нататъшни степени в областта на научните изследвания.
  2. Ограничени ресурси и опит сред преподавателите. Това поколение преподаватели по информатика е обучено в същата система, така че не е изненадващо, че липсват познания по сигурността. Този факт, съчетан с липсата на стандартизирани образователни материали по сигурността и ограниченото желание сред преподавателите, означава, че интегрирането на сигурността в учебните програми е предизвикателство.
  3. Липса на сигнал за търсене от страна на индустрията. Университетите искат да произвеждат дипломирани специалисти, които да могат да бъдат наемани на работа. Досега компаниите не са изразили мнение, че сигурността е един от ключовите фактори, които оценяват, когато наемат разработчици на софтуер. Докато това не се промени, университетите нямат голям стимул да променят своите практики.

 

Участниците в семинара набелязаха и няколко потенциални решения на тези предизвикателства, включително интегриране на изискванията за сигурност в процеса на акредитация на програмите по информатика и по-голяма достъпност на учебните материали по информатика.

В CISA продължаваме да изпълняваме мисията да направим софтуера сигурен още при проектирането му. Проучваме начини за интегриране на изискванията за сигурност за училищата, които трябва да бъдат определени/преопределени като Национален център за академични постижения на NSA/CISA (N-CAE). Също така си взаимодействаме с преподаватели от ниво K-12 до университети и други образователни платформи за разработване на софтуер, за да продължим да интегрираме сигурността в техните учебни програми. И работим в академичните среди и индустрията за по-нататъшно установяване на интердисциплинарно образование както за специалисти по компютърни науки, така и за специалисти по киберсигурност, за да се интегрира по-добре сигурността в най-ранните етапи на разработване на продукти. CISA ще публикува бъдещи блогове по тези теми, когато те станат актуални.

Имаме път напред, но ще се радваме на допълнителни мнения за това как най-добре да постигнем бъдеще, което е сигурно още при проектирането. През декември CISA публикува Искане за информация (RFI), с което иска да получи вашето мнение за ролята на сигурността в образованието по информатика, като отговорите трябва да бъдат получени на 20 февруари. Независимо дали ще изпратите обратна връзка към RFI, винаги можете да ни пишете на SecureByDesign@cisa.dhs.gov.

Джак Кейбъл, старши технически съветник, CISA

Източник: antivirus.bg

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
27/03/2024

Какво представлява защитата...

Киберпрестъпниците все по-често използват нови стратегии...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!