Başlangıç Perşembe günü sonrasında günlerce süren dalgalanma etkileriyle, rutin bir yazılım güncellemesi dünyanın büyük bölümünde rekor kıran bir donmaya neden oldu. Microsoft sistemleri tarafından dağıtılan bir siber güvenlik satıcısı olan CrowdStrike, analistlerin muhtemelen kaliteli bir güncellemeyi atladığını söylediği bir güncellemeyi yükledi test yapmakSonuç olarak devre dışı bırakıldı tahmini 8,5 milyon Bilgisayarlar belki de tarihin en büyük siber olayında yer alıyor.
Etkilenenler arasında bankaların, hastanelerin, polis güçlerinin, büyük havayollarının, TV istasyonlarının ve devlet kurumlarının çevrimiçi operasyonları için kritik öneme sahip Microsoft destekli sistemler yer aldı. Uçuşlar ve ameliyatlar iptal edildi, mahkemeler ve devlet daireleri kapatıldı ve yeni bilgisayar korsanlığı güvenlik açıkları tanıtıldı, bunlara şunlar dahildir: Federal kurumlar.
Kapanma, Amerikalıların toplu siber güvenlik zaafiyetini net bir şekilde ortaya koydu: Trilyon dolarlık teknoloji efendilerine olan bağımlılığımız ulusal güvenliği tehlikeye atabilir.
Kamu ve özel sektörlerin güvendiği altyapıyı destekleyen teknoloji sağlayıcıları, güvenliğimizi ve emniyetimizi koruma sorumluluğunu taşır. 2023'te, federal Siber Güvenlik ve Altyapı Güvenlik Ajansı Direktörü Jen Paskalyalı teknoloji şirketlerinin savunmasız ürünler sattıkları için sorumlu tutulması önerildi. Bu tür sorumluluk önlemleri yerinde olsaydı, CrowdStrike'ın küresel kesintisi önlenebilirdi.
Teknoloji şirketlerindeki gücün hızla konsolide olması hükümet ve toplum için zorluklar yaratıyor. Trilyonlarca dolarlık eşi benzeri görülmemiş büyüklüklere ve değerlemelere ulaşan şirketler, insanların en azından posta ve çöp toplama kadar bağımlı olduğu dijital altyapıyı kontrol ediyor. Teknoloji şirketleri artık iletişim, ticaret ve diğer hizmetleri federal kurumlardan daha çevik bir şekilde yönetiyor veya yönetmeye yardımcı oluyor. Ancak bunu daha az düzenleme ve kamu denetimiyle yapıyorlar — ayrıca bir kar amacı da var.
Teknoloji sektörünün pazar hakimiyeti şu şekildedir: ABD ekonomisinin %10'undan fazlası. İçinde 2024Microsoft, gelirlerini bildirdi 211,91 milyar dolarDiğer teknoloji devleri daha da büyüklerini yayınladı rakamlar: Amazon 574,78 milyar dolar, Apple 383,28 milyar dolar ve Alphabet (Google) 307,39 milyar dolar. (Meta Platforms, eski adıyla Facebook, 134,90 milyar dolar bildirdi.)
Bu kârların bir kısmı, siber güvenliğe ve tüketici zararlarını azaltacak diğer iyileştirmelere yatırım yapmak yerine, lobi faaliyetlerine ve güvenlik ve antitröst ihlalleri için ceza ödemeye gidiyor. 2023'te teknoloji devleri en azından 10 milyon dolar her biri lobi yaparken aynı zamanda daha fazlasını alıyor 3 milyar dolar para cezası ve Avrupa dijital antitröst yasalarını ihlal etme ve Adalet Bakanlığı ve Federal Ticaret Komisyonu tarafından açılan davalarla karşı karşıya kalma tazminatları. Bu arada, 2022'de ABD'de kötü yazılım kalitesinin mali etkisi en azından 2,41 trilyon dolarBilgi ve Yazılım Kalitesi Konsorsiyumu'na göre.
Yazılım kaynaklı kesintiler birkaç şekilde önlenebilir. Teknoloji yüklenicilerini ve seçenekleri çeşitlendirmek dayanıklılığı güçlendirir ve riskleri azaltır. Buna karşılık, herkes sadece birkaç sağlayıcıya güvenirse, tek bir arıza bile büyük sonuçlar doğurur. Ülkenin en büyük siber güvenlik firmalarından biri olan CrowdStrike bu soruna örnektir; Fortune 500'ün yarısı Şirketleri müşteri olarak görüyoruz.
Siber güvenlik yedekliliği de aynı derecede önemlidir: bir katman başarısız olsa veya tehlikeye girse bile sürekli koruma ve işlevselliği garanti eden çok katmanlı güvenlik önlemleri ve yedekleme sistemleri. Bu yedeklilikleri oluşturmak şirketlere başlangıçta daha pahalıya mal olsa da, işletmeler ve müşterileri arasındaki güveni sürdürmeye yönelik yatırımlardır. Cevad AbedJohns Hopkins Üniversitesi'nde işletme yardımcı doçenti ve siber güvenlik uzmanı olan , USA Today'e şunları söyledi.
Yaygın olarak kullanılan programlama dillerinde bildirilen yazılım açıklarının yaklaşık üçte ikisi, yetkisiz erişime veya kötü amaçlı kodun yürütülmesine olanak sağlayabilen bellek alanlarının yanlış tahsisi veya boşaltılması gibi bellekle ilgili güvenlik kusurlarından kaynaklanmaktadır. Bu yılın başlarında, Beyaz Saray — özellikle hükümetin teknoloji konularında ne kadar sık geride kaldığı göz önüne alındığında — ısrarla tavsiye edildi “hafıza güvenliği”nin yaygın olarak benimsenmesi Rust gibi programlama dilleriGo, Python ve Java, belleğin nasıl kullanıldığıyla ilgili belirli türdeki hatalara karşı koruma sağlar. Yine de Microsoft ve diğer büyük teknoloji şirketleri, hızlı oldukları ve aygıtların çalışmasına yardımcı olmak için donanım belleğine yerleştirilmiş programlar olan aygıt yazılımlarını geliştirmede kullanıldıkları için diğer dillerin yanı sıra C/C++'a güvenmeye devam ediyor. Yıkıcı güvenlik açıklarından kaçınmak için biraz rahatlıktan ödün vermeye değer.
Son olarak, Easterly'nin teknoloji şirketlerinin sorumluluğunu artırma önerisi doğrultusunda, ABD düzenlemelerinin güncellenmesi gerekiyor. Antitröst yasalarımız yalnızca fiyatlandırmaya odaklanmaktan uzaklaşmalı ve ekonomik zarardan kaçınmak veri gizliliği korumasını ve güvenliğini kapsayacak şekilde. Yazılımın güvenli olduğundan emin olmak için federal standartlar tasarım gereği güvenli güvenli ürünler sağlamak için sorumluluğu baştan itibaren satıcılara kaydırırdı. Ayrıca düzenleyicilerin siber dayanıklılığı önceliklendirdiği Avrupa Birliği'ne de bakabiliriz Dijital Operasyonel Dayanıklılık Yasası2025'ten itibaren yürürlüğe girecek olan yasa, finans sektörünün bilgi ve teknoloji tehditleriyle başa çıkabilmesini sağlamak için sıkı gereklilikler getirmeyi amaçlıyor.
Yalnızca teknoloji sağlayıcılarını en yüksek standartlara tabi tutarak, kaçınılabilir ve muhtemelen yaşamı tehdit eden kesintilerden korkmadan, birbirine bağlı bir dünyanın ilerlemelerinin keyfini çıkarmaya devam edebiliriz.
Heidi Boghosian bir avukat ve yakında çıkacak olan kitabın yazarıdır “Siber Vatandaşlar: Dijital Okuryazarlıkla Demokrasiyi Kurtarmak.”
Bir yanıt yazın