Presiden Biden memerintahkan pelabelan keamanan perangkat lunak dan komunikasi kepada konsumen tentang daftar bahan penyusunnya. Tujuannya adalah untuk memastikan keaslian, keaslian dan keamanan produk. Perintah eksekutif "Meningkatkan Keamanan Siber Negara" dikeluarkan Mei lalu dan dalam beberapa minggu terakhir tanggapan teknis-organisasi pertama dari lembaga federal dan dunia akademis dan industri mulai berdatangan.
Akhirnya, sepertinya.
Terlalu banyak lubang keamanan, terlalu banyak aktor jahat yang memiliki waktu yang mudah selama bertahun-tahun. Bahkan, mulai sekarang, akan perlu untuk menyiapkan prosedur penelusuran yang terbukti untuk menunjukkan bahwa perangkat lunak telah dibuat di lingkungan yang aman, sesuai dengan praktik pengembangan dan pengujian yang baik; dan asal-usul kode sumber harus dipertanggungjawabkan, membenarkannya dengan artefak standar. Dan akhirnya, pengguna tidak lagi harus mengakui kondisi penggunaan, tetapi menambahkan label keamanan dan SBOM (Software Bill Of Materials): daftar bahan yang mencantumkan komponen dan asalnya.
Singkatnya, akan membeli perangkat lunak akan menjadi sangat mirip dengan ketika kita harus membeli mesin cuci baru, hati-hati untuk memeriksa label energi untuk memeriksa konsumsi listrik atau polusi suara; atau mirip dengan ketika kita berjalan-jalan di gang supermarket, berniat memeriksa tabel bahan biskuit untuk mencari yang paling sehat, paling asli, nol kilometer, dengan lebih sedikit kalori dan tanpa alergen. Atau lagi ketika di restoran kami mencari sebotol anggur berkualitas, meminta yang DOC daripada yang ditandai dengan satu Denominazione di Origine Controllata dan Garantita.
Tapi mari kita pergi secara berurutan dan mencoba memahami apa yang terjadi. Dan terutama jika itu akan benar-benar cukup.
Dalam beberapa bulan terakhir, dua inisiatif struktural telah diluncurkan oleh pemerintah Amerika: yang pertama, ditujukan untuk mengamankan rantai pasokan perangkat lunak; kedua, yang bertujuan untuk membawa lingkungan teknologi sistem kontrol industri ke tingkat keamanan siber setidaknya sama dengan yang telah dicapai saat ini dalam sistem TI.
Rantai pasokan perangkat lunak sekarang sangat berkembang dan didistribusikan secara luas, sedemikian rupa sehingga sekarang dapat dikatakan bahwa “siapa saja yang membuat perangkat lunak”. Dan dalam konsep "siapa pun" ada yang - terkait - dari "tak tentu", yang saat ini merupakan kerentanan utama yang menjadi dasar sebagian besar insiden komputer: bukan saja kita tidak tahu siapa sebenarnya pembuat perangkat lunak yang kita gunakan, di mana tanggung jawab perdata, pidana dan administratif dapat ditelusuri untuk kerusakan yang disebabkan atau untuk paparan bahaya yang sebenarnya; tetapi kita bahkan tidak tahu apakah seseorang ini, bahkan ketika dia telah bertindak dengan itikad baik, telah melengkapi dirinya dengan sumber daya, struktur, dan teknik operasional untuk mengembangkan dan menguji produk dengan aman, serta kontrol yang memadai untuk mencegah gangguan.
Dan semua ini, jika secara umum berlaku untuk semua perangkat lunak, mengasumsikan nilai yang menentukan untuk kategori yang disebut perangkat lunak kritis, yaitu yang melakukan fungsi jaminan dan keamanan, seperti yang diperlukan untuk mengelola dan memverifikasi hak istimewa administrator sistem. atau yang memungkinkan akses langsung ke mesin atau sumber daya jaringan.
Oleh karena itu, strategi yang diterapkan akan mencoba untuk menjamin, dengan proses yang berulang dan dapat diverifikasi, ketiga dimensi ini: kepengarangan, keamanan, dan keaslian. Mari kita lihat bagaimana.
Perangkat lunak akan mulai diharapkan untuk dibuat dalam lingkungan pengembangan yang terkotak-kotak sehubungan dengan lingkungan di mana mereka akan diuji selanjutnya, serta lingkungan di mana mereka akan - ketika beroperasi penuh - digunakan; dan informasi kepada konsumen harus memberikan bukti prosedur keselamatan yang digunakan untuk memastikan pemisahan lingkungan ini. Kemudian, perlu menggunakan otomatisme yang memungkinkan verifikasi asal dan integritas kode sumber yang digunakan untuk mengembangkan perangkat lunak, dan pencarian terus-menerus untuk kerentanan dan perbaikan terkait. Dan ini juga harus diakui dalam informasi kepada pengguna, tidak gagal untuk menunjukkan deskripsi singkat tentang risiko yang dinilai dan dikurangi.
Juga perlu untuk menjaga inventarisasi data yang tepat waktu yang berkaitan dengan asal kode sumber atau komponen perangkat lunak yang tidak dikembangkan sendiri, serta kontrol yang diterapkan dan audit yang dilakukan pada komponen perangkat lunak, layanan dan alat pengembangan, baik internal dan pihak ketiga berangkat. Sedapat mungkin, adalah wajib untuk menyatakan integritas dan sumber perangkat lunak sumber terbuka yang digunakan dalam bagian mana pun dari suatu produk. Akhirnya, perlu untuk menunjukkan bahwa sistem pengendalian internal tersedia yang mampu mengungkapkan pada waktunya kerentanan yang terdeteksi dalam produk perangkat lunak.
Setelah menyelesaikan atau menyelesaikan tindakan yang ditunjukkan di atas, perlu untuk membuat label keamanan dan tagihan bahan untuk konsumen.
Diharapkan bahwa semua ini akan secara signifikan meningkatkan pelacakan asal, integritas dan keamanan perangkat lunak, tetapi juga akan menyebabkan peningkatan yang signifikan dalam biaya implementasi dan oleh karena itu harga untuk publik.
Tetapi orang biasa, dengan kesenjangan digital yang menjadi ciri budaya massa saat ini, yang terbiasa mengunduh perangkat lunak "retak" tanpa biaya dari web, akankah ia bersedia mengeluarkan jumlah yang jauh berbeda untuk membeli perangkat lunak aman semacam ini? Kita perlu bertindak secara paralel sehingga, seiring dengan keamanan rantai pasokan perangkat lunak, kita bertindak untuk menciptakan kesadaran baru akan kebersihan digital di antara mereka yang akan merasa membutuhkan perangkat lunak tersebut.
Orazio Danilo Russo dan Carlo Mauceli
Untuk mempelajari lebih lanjut:
https://www.federalregister.gov/documents/2021/05/17/2021-10460/improvin...
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/...
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity...
