Aercom.by - Новости безопасности в Беларуси и СНГ

23 ноября 2017 г., четверг

Отраслевые мероприятия (Беларусь)

14 ноября, 2017

Состоялись технические семинары от Axis

28 сентября, 2017

Итоги «Центр безопасности. 2017»

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Директор по безопасности Apple призвал ввести налог на уязвимости
2 февраля, 2011

У нового начальника службы безопасности Apple Дэвида Райса интересные взгляды на то, как улучшить уровень безопасности программного обеспечения — он предложил облагать уязвимости в программном обеспечении налогами.

Райс полагает, что такой налог может быть введен так же, как был введен налог на загрязнения, и целью его будет являться заставить компании платить и отвечать за то количество ущерба, которое причинено по их вине.

«Мы тестируем автомобили в ходе испытательных тестов на столкновения, чтобы увидеть, как они себя ведут в таких ситуациях, поэтому мы с тем же успехом можем применить эту методику и к программному обеспечению, чтобы оценить то, как оно работает и дать ему оценку по рейтингу безопасности», — рассказал Райс Forbes на прошлой неделе.

«Если бы налог поднял частные расходы на киберпреступления, люди научились бы избегать ошибок очень быстро. Когда ненадежное программное обеспечение начнет стоить дороже, люди будут вести себя умнее».

Он привел данные Gartner, оценивающие стоимость внедрения патчей для программного обеспечения отдельной компанией с количеством от 2500 до 3000 машин в среднем в 1 миллион долларов в год.

«Давайте обратим больше внимания на программное обеспечение, потому что оно — самый важный, требующий исправлений элемент системы и практика показывает, что издание исправлений — не такая уж и сложная задача. Небезопасное и ненадежное программное обеспечение вносит беспорядки в киберпространство, и мы должны избавиться о этой проблемы в корне», — сказал Райс.

Но может ли эта идея сработать? И какое влияние окажет налог на сферу безопасности?

Не сработает?

Райс не стал вдаваться в детали о том, как будет работать такой налог. Будет ли пошлина взиматься с вендоров или будут ли они вынуждены платить какую-то установленную сумму в зависимости от того, насколько безопасны их продукты?

Главный исследователь Kaspersky Lab Дэвид Джэйкоби внес некоторые коррективы в данную идею. Согласно Джэйкоби, в этом случае будет слишком много «если», с которыми придется иметь дело.

«Я думаю, что эта идея не поможет решить какие-либо проблемы, потому что не все уязвимости — уязвимости в программном обеспечении», — прокомментировал он инициативу изданию IT PRO.

«Некоторые уязвимости существуют из-за локальных настроек сервера, на котором работает программное обеспечение. Также могут быть логические недостатки, которые могут проявляться при определенных обстоятельствах, а степень уязвимости не может быть определена третьим лицом, потому что он не имеет представления о том, с какой информацией имеет дело сервер и как уязвимость влияет на клиента».

Джэйкоби сказал, что производители должны нести ответственность за своё программное обеспечение и должны улучшать средства его тестирования.

«Еще одна вещь, о которой нам стоит подумать — это то, что хакеры, с которыми мы боремся, в некоторых случаях также являются людьми, которые ищут и находят новые техники эксплуатации слабых мест», — добавил он.

«Что случится, если кто-то найдет способ взломать всё программное обеспечение, написанное на определенном языке?»

Главный исследователь malware в команде Kaspersky Lab Курт Баумгартнер поведал, что идея о налоге не учитывает, что многие ошибки, а может и большинство из них, не являются причинами эксплуатируемыми.

«Нам нужно творческое решение, но я не думаю, что налоговая система — именно то, что надо», — сказал Баумгартнер. «Черт, производители не могут даже привести в порядок систему оценки степени опасности их же программного обеспечения и патчей».

Он добавил, что другие предложения были бы «более уместными и более подходящими решениями проблемы».

Поднимая планку

Эксперт по безопасности Sophos Джеймс Лин сказал, что введение налога могло бы помочь «поднять планку» и вынудить разработчиков программного обеспечения улучшать степень безопасности их продуктов. Но любой проект по вводу налогов должен быть разработан с особой тщательностью, чтобы он не помешал разработке новых продуктов, сказал Лин.

«Такая идея должна быть тщательно проработана, потому что многие представляющие ценность технологические платформы начинали именно как недоработанные приложения», — уточнил молодой эксперт по безопасности. «Препятствование инновациям следует также взять в расчет».

Лин согласился с Райсом в том, что нет такого программного обеспечения, которое можно было бы назвать идеальным. Но хоть идея и не может устранить проблему, она, по крайней мере, может улучшить ситуацию.

«Налог будет, скорее, выполнять регулятивную функцию, следя за тем, чтобы компании вкладывали достаточное количество средств (конечно, соизмеримое с ресурсами компании), чтобы справится с рисками», — добавил Лин. «Регулирование может быть эффективным, но должно выполняться тщательно и продуманно для того, чтобы избежать неблагоприятных последствий».

Он отметил, что то, что Apple «проявляют инициативу и хотят внести ясность и улучшить инвестирование» — уже в любом случае хорошо.

За пределами компаний, в области образования, должна проводиться практика по развитию безопасности, сказал Лин. Он утверждает, что многие академические органы не делают достаточно для того, чтобы осветить эту тему.

Источник: http://anti-virus.by/

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.