Αυτός ο γιγαντιαίος ήχος ρουφήγματος που ακούτε (ειδικά αν είστε απογοητευμένος διαχειριστής ομοσπονδιακών δικτύων) είναι ο θόρυβος που προκαλούν τα παλαιού τύπου συστήματα πληροφορικής που ανεβάζουν πάνω από το 60% των ομοσπονδιακών δαπανών πληροφορικής. Συγκριτικά, ο εκσυγχρονισμός της πληροφορικής αντιπροσωπεύει περίπου το 13% των συνολικών δαπανών για την κρατική πληροφορική.
Ο νόμος για τη μείωση των τεχνολογιών πληροφορικής παλαιού τύπου θα ήταν ένα όφελος για τις εταιρείες που αντιμετωπίζουν την πρόκληση της αντικατάστασης ή της αναβάθμισης επαχθών τεχνολογιών πληροφορικής που είναι συχνά ξεπερασμένες, αναξιόπιστες και, ναι, δαπανηρές στη συντήρηση. Το νομοσχέδιο θα απαιτούσε (και θα χρηματοδοτήσει) τις υπηρεσίες να εκσυγχρονίσουν τα παλιά παλαιού τύπου συστήματα πληροφορικής και να αναπτύξουν σχέδια για την ενημέρωση και τη διάθεση των παλαιών συστημάτων. Η στροφή προς τον εκσυγχρονισμό θα ενισχύσει την ασφάλεια και θα εξοικονομήσει δολάρια των φορολογουμένων. Ωστόσο, βραχυπρόθεσμα, ο νόμος για τη μείωση της παλαιού τύπου IT θα μπορούσε να δημιουργήσει ζητήματα ασφάλειας.
Βασικό χαρακτηριστικό αυτού του νομοσχεδίου είναι η απαίτηση του Γραφείου Διαχείρισης και Προϋπολογισμού να συνδράμει τους φορείς, με τη μορφή καθοδήγησης, στον εντοπισμό και τον εκσυγχρονισμό της παλαιού τύπου πληροφορικής. Τα σχέδια εκσυγχρονισμού των πρακτορείων θα πρέπει να ολοκληρωθούν δύο χρόνια μετά τη θέσπιση νόμου του νομοσχεδίου. Αυτό είναι ένα ακόμη βήμα προς τα εμπρός στον αγώνα για βελτιωμένη ασφάλεια δικτύου. Συμπληρώνει το μοντέλο μηδενικής ωριμότητας εμπιστοσύνης της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών, έναν οδικό χάρτη για την ανάπτυξη στρατηγικών μηδενικής εμπιστοσύνης και σχεδίων εφαρμογής των οργανισμών.
Αλλά πώς μπορεί το νομοσχέδιο, παρά τις καλές του προθέσεις και τις πιθανές βελτιώσεις, να αποτύχει να αναγνωρίσει ότι ο κακώς γραμμένος κώδικας εξακολουθεί να χρησιμοποιείται ευρέως και αποτελεί εξίσου σημαντικό (ίσως μεγαλύτερο) μέλημα για την ασφάλεια του λογισμικού; Σε συνεργασία με ηγέτες του Κογκρέσου, πρέπει όλοι να διασφαλίσουμε ότι αυτή η ευκαιρία για εντολή και χρηματοδότηση εκσυγχρονισμού δεν παραβλέπει τις θεμελιώδεις απαιτήσεις ασφάλειας εφαρμογών και εξουσιοδοτεί τους ηγέτες τεχνολογίας της ομοσπονδιακής κυβέρνησης να προστατεύουν τις εφαρμογές τους καθώς κωδικοποιούν. Τώρα, περισσότερο από ποτέ, είναι η ευκαιρία να «μετακινηθείτε αριστερά».
Στο σημερινό πολυσύχναστο τοπίο στον κυβερνοχώρο, η έννοια της «μετατόπισης αριστερά» είναι δύσκολο να παραληφθεί. Επικεντρώνεται στη δημιουργία ασφάλειας στο λογισμικό από την αρχή του κύκλου ζωής της ανάπτυξης, δίνοντας στις εταιρείες ένα αξιοσημείωτο πλεονέκτημα στην καταπολέμηση των κακόβουλων χάκερ.
Εκτός από την ενσωμάτωση της ασφάλειας από την αρχή, στο επίπεδο εφαρμογής οι εταιρείες θα πρέπει να αναλαμβάνουν πρωτοβουλίες για να σαρώνουν τακτικά το λογισμικό για ελαττώματα και να δίνουν προτεραιότητα στη διόρθωση των τρωτών σημείων αναλόγως. Χωρίς εργαλεία για την κατάλληλη αντιμετώπιση της ασφάλειας του επιπέδου εφαρμογής, η απλή ενημέρωση των παλαιούχων συστημάτων μπορεί να μην είναι αρκετή για την επαρκή προώθηση της ισχυρής ασφάλειας στον κυβερνοχώρο.
Είναι όλο και πιο σημαντικό οι υπεύθυνοι οργανισμοί να εφαρμόζουν αρχές ασφάλειας εφαρμογών που λειτουργούν σε όλο τον κόσμο. Όπως το πρόσφατη έκδοση της έκθεσης State of Software Security έκδοσης 12 της Veracode εντόπισε, σε σύγκριση με πολλούς διαφορετικούς κλάδους της βιομηχανίας, οι κρατικές υπηρεσίες έχουν το υψηλότερο ποσοστό εφαρμογών που παρουσιάζουν ελαττώματα, με 82%. Ο δημόσιος τομέας κατατάχθηκε επίσης τελευταίος ως προς την ικανότητά του να διορθώνει ελαττώματα μόλις εντοπιστούν – περίπου δύο φορές πιο αργά από άλλους τομείς. Αυτό τονίζει την ανάγκη για ισχυρότερη κρατική ασφάλεια λογισμικού. Η αρχή με το επίπεδο εφαρμογής είναι ένας αποδεδειγμένος τρόπος αντιμετώπισης αυτών των τρωτών σημείων.
Πρωτοβουλίες όπως το σημείωμα μηδενικής εμπιστοσύνης του OMB, ένας λογαριασμός υλικού λογισμικού και το προαναφερθέν μοντέλο ωριμότητας μηδενικής εμπιστοσύνης της CISA, όλα βοηθούν στη σκιαγράφηση της πορείας προς την αρχιτεκτονική μηδενικής εμπιστοσύνης. Το Legacy IT Reduction Act θα μπορούσε να επωφεληθεί από την ενσωμάτωση ή τουλάχιστον την υπόδειξη αυτής της καθοδήγησης.
Συνολικά, ο νόμος για τη μείωση των τεχνολογιών πληροφορικής παλαιού τύπου έχει τη σωστή ιδέα για την αντιμετώπιση του εκσυγχρονισμού – αλλά μπορεί να βελτιωθεί. Η πράξη πρέπει να απαιτεί από τις υπηρεσίες να εφαρμόζουν δοκιμές ασφάλειας λογισμικού. Με μόνο ένα σταθερό ποσοστό 22% συνολικά, ο δημόσιος τομέας καλείται να εμποδίσει τις επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού να επηρεάσουν εφαρμογές κρίσιμες για όλες τις πτυχές της ζωής. Απαιτείται μια ολοκληρωμένη πλατφόρμα ασφάλειας λογισμικού για την παροχή της απόλυτης προστασίας έναντι των κυβερνοεπιθέσεων πριν αυτές συμβούν, αναμφισβήτητα περισσότερο στις κρατικές υπηρεσίες παρά οπουδήποτε αλλού. Είναι τώρα η ώρα για τους ομοσπονδιακούς ηγέτες τεχνολογίας να αναλάβουν δράση για ένα μέλλον ασφαλών συστημάτων. Η στροφή προς τα αριστερά μπορεί να το κάνει πραγματικότητα.