האם ספקי תוכנה אחראים לאבטחת מידע?

משחק האשמות הוא לעתים קרובות נקודת הגישה הראשונה בכל פעם שמתרחשת פרצת אבטחה. מבחוץ, דווקא מנהיגים עסקיים נוטים לספוג את הביקורת הציבורית הרבה ביותר על אירועי אבטחת סייבר, כאשר העיתונות והלקוחות כאחד שואלים כיצד אפשרו לזה לקרות. משם, מנהיגים עסקיים מפנים את תשומת ליבם הפנימית לצוותי ה-IT והאבטחה שלהם ושואלים את אותן שאלות. כאשר מתרחשת פרצה, זה בסופו של דבר נובע מפגיעויות אבטחה קיימות שהיו צריכות להיות מזוהות ולטפלות מוקדם יותר, ולכן טבעי שהאשמה נוטה ליפול על צוותים שאחריותם העיקרית היא למצוא את הפגיעויות הללו.

אבל בשנים האחרונות, החל הדיון להשתנות, כאשר חלק מהאנשים מתחילים להטיל ספק ברמת האחריות שצריכה להיות מוטלת על ספקי תוכנה כאשר מנוצלת פגיעות במוצר שלהם. הרעיון שיש להטיל יותר אחריות על ספקי התוכנה להעמיד את האבטחה בראש סדר העדיפויות קיים כבר זמן מה, כאשר בית הלורדים אף המליץ להטיל על ספקי תוכנה דין וחשבון עוד בשנת 2007. אבל עם פרצות מתוקשרות שנראות כעת מתרחשות על בסיס שבועי, כמו התקפות Log4j או CitrixBleed, עולות שאלות. לעתים קרובות נטען כי דגש על האשמת טעויות משתמשים בודדים והחלטות חברה בפריצות אפשר תרבות של פגמי אבטחה מתמשכים, מה שאפשר לחוב אבטחה הולך וגדל (המתייחס לכל פגיעות שנותרה ללא תיקון במשך יותר משנה) להשתרש.

יש עוד הרבה עבודה לעשות כדי לשפר את מצב אבטחת התוכנה, אבל זו לא שאלה של אשמה. אלא, זוהי הזדמנות עבור ספקים להתמודד עם האתגר, להוכיח שהם מתמודדים עם פגיעויות אבטחה ולפעול תוך התחשבות באינטרסים של לקוחותיהם. אבל היכן עליהם להתחיל? התשובה טמונה בהפחתה יזומה של חובות אבטחה.

שמירה על המומנטום החיובי

כאשר בוחנים את ההתקדמות שעשו מפתחי תוכנה בכל הנוגע לטיפול בפגמים, ניתן לראות שהם בהחלט נענים לאתגר. דו"ח מצב אבטחת התוכנה האחרון שלנו הראה כמה סימנים חיוביים, כאשר שכיחות הפגמים בחומרה גבוהה שדווחו על ידי עסקים ירדה למחצית ממה שהייתה בשנת 2016. עם זאת, בעיות מתמשכות עדיין רודפות ארגונים רבים. הדאגה הראשונה שלהם היא שיותר מ-70% מהארגונים עדיין מתמודדים עם חוב אבטחה – נתון מדאיג בהתחשב בכמה יותר ארגון רגיש לפריצות עם פגיעויות שלא טופלו.

בדיקה מעמיקה יותר של הסטטיסטיקות מראה שזה יכול להיות מדאיג אף יותר ממה שזה נראה במבט ראשון. כמעט מחצית (46%) מהארגונים סובלים מליקויים מתמשכים וחומרתיים המהווים חוב אבטחה קריטי, בעוד שרק 35% מהצוותים מפגינים יכולת בת קיימא לחסל את כל חוב האבטחה הקריטי. אם ספקי תוכנה באמת רוצים להתמודד עם האתגר ולפתור את בעיות האבטחה הללו, עליהם לפתח אסטרטגיה שתעדף את הפחתת חוב האבטחה עבור ארגונים המשתמשים בתוכנה שלהם.

כיצד ספקים יכולים להפחית סיכונים

ספקי תוכנה ממלאים תפקיד מרכזי בעיצוב נוף האבטחה, וככל שמורכבות האיומים ממשיכה להתפתח, אחריותם בהפחתת סיכונים הופכת קריטית יותר ויותר. הדבר החשוב ביותר הוא שספקים יטפלו בתעדוף סיכונים ובמדרגיות. תהליכי תעדוף סיכונים טובים מאפשרים לספקי תוכנה להתמקד בטיפול יעיל בפגיעויות קריטיות, ולמזער את הסבירות לפריצות וחובות אבטחה נלווים.

גמישות היא גם חיונית – ספקי תוכנה צריכים להיות מסוגלים להסתגל ולהגיב ביעילות לרמות משתנות של ביקוש ומורכבות במסגרת יוזמות האבטחה שלהם. בדרך זו, הם יכולים להציב את עצמם בעמדה הטובה ביותר להגיב במהירות ולהסתגל לאיומים מתעוררים, כמו גם לייעל את הקצאת המשאבים שלהם ולמקד את מאמציהם בתחומים הקריטיים ביותר. כל זה יחד יעזור לספקים להפחית את הסיכונים לפריצות בתוכנה שלהם, למזער חוב אבטחה ארגוני ולשפר את יכולתם להגן על לקוחותיהם ולהגן על המוניטין שלהם על ידי הטמעת אמון באמצעי האבטחה שלהם.

נוף האבטחה הופך קשה יותר ויותר לנווט. עם התפתחות האיומים מטכנולוגיות חדשות, הופכים נפוצים ומורכבים יותר ויותר, חשוב יותר ויותר לתעדף את אבטחת התוכנה. כן, ארגונים חייבים להטיל על עצמם אחריות על שמירת הנכסים הדיגיטליים שלהם, ובדיקה פנימית נחוצה כדי לטפל ביעילות בפגיעויות. עם זאת, ככל שהנוף מתפתח, כך גם הגישה שלנו לאחריותיות צריכה להשתנות. 

שינוי זה אינו עוסק בהטלת אשמה; זוהי הזדמנות לספקים להפגין את מחויבותם לאבטחה ולתרום למערכת אקולוגית דיגיטלית בטוחה יותר. כשאנו מנווטים במורכבויות של אבטחת סייבר ושואפים להפחית את חוב האבטחה באופן כללי, שיתוף פעולה, אחריות והפחתת סיכונים פרואקטיבית יהיו חיוניים לעתיד בטוח ועמיד.