ארה"ב: הממשל שוקל להגביר את אכיפת האבטחה על חברות הטק

הממשל האמריקני שוקל חקיקה נגד חברות טכנולוגיה וארגונים נוספים, שתטיל עליהם אחריות רבה יותר, בכל הרמות, בנוגע לאבטחת השירותים שהם מציעים ללקוחות, כולל פרטיות הנתונים.

ג'ן איסטרלי, מנהלת הסוכנות לאבטחת סייבר ותשתיות (CISA) בארצות הברית, אמרה באחרונה שהחקיקה, באם תצא אל הפועל, תמנע התנערות של חברות טכנולוגיות מאחריות באמצעות שימוש בחוזים מורכבים, ותקבע סטנדרטים גבוהים יותר לטיפול בתוכנה שמיועדת לשימוש בעיקר בתשתיות קריטיות. עוד היא אמרה שהיא חושבת שיש להושיט במקביל יד ולבנות "נמל בטוח" עבור חברות שכן מפתחות ומתחזקות את התוכנות שלהן באופן מאובטח.

איסטרלי ציינה כי המטרה של CISA היא לגרום לארגונים לקחת אחריות רבה יותר על האבטחה של השירותים שהם מציעים, "ואמצעים אלה יכולים להבטיח שהם אכן יעשו זאת היטב. אולי כך תימנע העובדה שאפליקציות רבות כל כך מכילות פגמים מהותיים ופגיעויות יום אפס, שמאפשרות להאקרים את הפרצות שדרכן הם חודרים למערכות".

בעיקר טענה בכירת הסייבר שחייבת להיות שקיפות, ובנקודה הזו היא ציינה את אפל, שדיווחה ש-95% מהמשתמשים בשירות האחסון בענן שלה, iCloud, משתמשים בזיהוי מרובה שלבים, שנחשב לאמצעי אבטחה מומלץ במיוחד. יש לציין שאפל מגדירה זיהוי מרובה שלבים כברירת מחדל. "אפל לוקחת בעלות על האבטחה של המשתמשים שלה", אמרה איסטרלי. לעומת זאת, היא ציינה שאימוץ הזיהוי מרובה השלבים במיקרוסופט ובטוויטר נמוך מאוד, עם 24% ו-3% מהמשתמשים בלבד, בהתאמה.

"השקיפות לגבי התהליך מרובה השלבים של זיהוי המשתמשים מצד הארגונים הללו עוזרת להראות את נחיצות האבטחה כברירת מחדל. יותר ארגונים צריכים ללכת בעקבותיהם. למעשה, כל ארגון צריך לדרוש שקיפות לגבי הבקרות והתהליכים שאומצו על ידי ספקי טכנולוגיה, ולאחר מכן לדרוש אימוץ של תהליכים כאלה כקריטריונים בסיסיים לפני רכש או שימוש", ציינה.