ワシントンは結果を再認識した。ただし一貫性を欠いている。
3月6日の大統領令は、シンプルで正しい考えに基づいている。サイバーを悪用した詐欺が存在し続けるのは、利益性があり、スケーラブルで、しばしば容認されているからだ。したがって、政府の答えはコストを引き上げることだ。より多くの協力。より多くの混乱。より多くの起訴。これらの活動を庇護する国への外交的圧力を強化する。
良い。
しかし数週間前、OMB覚書はバイデン政権下で発行された以前の連邦ソフトウェアサプライチェーン覚書を取り消した。実際には、この取り消しは従来の証明書中心のモデルから後退し、セキュアソフトウェア開発証明書フォームとSBOMリクエストなどのツールを確固とした期待からオプションに変えた。
端的に言えば、デジタルシステムを悪用する人々には厳しくなっている一方で、それらのシステムを悪用しやすくする条件に対しては緩くなっている。
大統領令は重要なことを正しく認識している。サイバーを悪用した詐欺は、ランダムなオンライン詐欺の単なる集まりではない。これは組織化された略奪行為であり、ランサムウェア、フィッシング詐欺、なりすまし、セックストーション、金銭詐欺として運営される繰り返し可能なビジネスモデルであり、多くの場合は国際的で、時には寛容な国によって庇護されている。同令は、破壊、調整、諜報共有、起訴、復元力、国際的圧力を中心とした、より集約化された連邦のアプローチで対応する。
これは方向的に正しい。犯罪エコシステムは、より良いガイダンスを公開しただけでは後退しない。事業コストが上がると後退する。
しかし、そこに至るとソフトウェアの問題が出てくる。
古い連邦保証体制への批評は完全に根拠がないわけではない。コンプライアンスは劇場化することができる。官僚制は正当なセキュリティ目標を形式の収集とチェックボックスの管理の儀式に変えるのが得意だ。懐疑的な見方も理由がある。OMBは、以前のモデルが負担になり、真のセキュリティへの投資よりもコンプライアンスを優先したと明示的に主張している。
それでも、悪いコンプライアンスの失敗は、アカウンタビリティ自体が問題であったという証拠ではない。
ここで論理が崩れる。政権は犯罪者が抑止力に応答すると信じることを明らかにしている。起訴、制裁、ビザ制限、下流の協調的な圧力を使用する意思がある。しかし、不安定な技術が犯罪者が悪用する地形を形成する上流では、理論が急に変わる。そこでは、自由裁量を信頼するよう言われている。地域の判断。柔軟で、リスクベースの意思決定。
時にはそれは知恵だ。しばしば、厳密な要件を誰も望んでいないと言うより上品な方法にすぎない。
これは私の立場が変わっていない理由でもある。2024年に書いた投稿で、業界はより緩い期待や別ラウンドの丁寧な励ましが必要ではないと主張した。インセンティブを変えるのに十分な強さの、より具体的な行動と結果が必要だった。問題は、アカウンタビリティを過度に要求していたことではなかった。問題は、脆弱なソフトウェアが依然としてあまりに安く出荷できたことだ。
それはより深い問題だ。サイバー犯罪は規模では犯罪者が存在するだけでは栄えない。環境が彼らに報酬を与えるために栄える。弱いアイデンティティシステム、脆弱なソフトウェア、広がりのある依存チェーン、貧弱な可視性、分散したアカウンタビリティはすべて略奪行為をより安く作る。回避可能なリスクを出荷する人々はめったにその全コストを吸収しない。他の誰もがそうする。
したがって、これら2つのポリシーの動きは、一緒に見ると、不快な何かを明かにする。政権はサイバー犯罪者への結果を信じているようだが、脆弱なソフトウェア製造への結果はそこまで信じていない。詐欺師には抑止力を望み、サプライヤーには自由裁量を望んでいる。
一貫したサイバー戦略はどちらも行うだろう。犯罪ネットワークを積極的に破壊し、セキュアバイデザインの生産と調達のための意味のある圧力を作成するだろう。攻撃者を罰することが重要であることを認識するだろう。しかし、攻撃を有利にし続ける地形を変えることも同様に重要だ。
政権は1つのことに関して正しい:略奪行為のコストが上がるまで、サイバー犯罪は縮小しない。
未回答の質問は、その論理がなぜ詐欺作戦の端で止まるべきかだ。
ブライアン・フォックスはSonatypeの共同創業者兼CTOです。
翻訳元: https://cyberscoop.com/washington-cybercrime-executive-order-software-security-gap/
