सॉफ़्टवेयर निर्माताओं को दायित्व से सुरक्षित आश्रय प्रदान करना

मार्च 2023 को व्हाइट हाउस ने एक नया जारी किया राष्ट्रीय साइबर सुरक्षा रणनीति. रणनीति उन 5 स्तंभों की एक सूची की रूपरेखा तैयार करती है जिन्हें व्हाइट हाउस सार्वजनिक और निजी दोनों क्षेत्रों में सभी अमेरिकियों के लिए साइबर सुरक्षा में सुधार के लिए महत्वपूर्ण मानता है। तीसरा स्तंभ सुरक्षा और लचीलेपन में सुधार के लिए बाजार की शक्तियों को आकार देने के अभियान से संबंधित है। उस सूची का एक हिस्सा यह विचार है कि बहुत से सॉफ़्टवेयर निर्माता साइबर सुरक्षा या उचित परीक्षण में उचित निवेश नहीं करते हैं और अनुबंध द्वारा दायित्व से बचते हैं। बहुत बार आप उपयोगकर्ता अनुबंधों के छोटे प्रिंट में कुछ इस तरह पा सकते हैं: "लाइसेंसधारी किसी तीसरे पक्ष के दावे से उत्पन्न होने वाले सभी नुकसान, लागत, व्यय, या दायित्व (उचित वकील की फीस सहित) के खिलाफ क्षतिपूर्ति करने और लाइसेंसकर्ता को हानिरहित रखने के लिए सहमत है। लाइसेंसधारी द्वारा सॉफ़्टवेयर के उपयोग के आधार पर लाइसेंसदाता के विरुद्ध।" (और देखें यहाँ उत्पन्न करें)

जबकि बड़ी कंपनियों के पास ऐसे अनुबंधों को लागू करने की शक्ति और पैसा है, व्हाइट हाउस सॉफ्टवेयर और हार्डवेयर उत्पादकों को उनके द्वारा उत्पादित सॉफ्टवेयर और हार्डवेयर के लिए अंततः जिम्मेदार मानता है। रणनीति दस्तावेज़ से उद्धृत करने के लिए: "बुरे परिणामों को रोकने के लिए कार्रवाई करने में सबसे सक्षम हितधारकों पर ज़िम्मेदारी डाली जानी चाहिए, न कि अंतिम उपयोगकर्ताओं पर जो अक्सर असुरक्षित सॉफ़्टवेयर के परिणाम भुगतते हैं और न ही किसी घटक के ओपन-सोर्स डेवलपर पर एक वाणिज्यिक उत्पाद में एकीकृत किया गया है।"

व्हाइट हाउस सॉफ्टवेयर उत्पादों और सेवाओं के लिए दायित्व स्थापित करने वाला कानून विकसित करने का प्रस्ताव करता है। यदि आप एक ऐसी कंपनी हैं जो अब तक इस तरह की कानूनी परेशानी से बचने के लिए दोष-परिवर्तन और अस्पष्ट उपयोगकर्ता समझौतों पर निर्भर रही है, तो ऐसी देनदारी भयावह लग सकती है। यह और भी अधिक निराशाजनक है अगर हम उस आसानी पर विचार करें जिसके साथ अमेरिकी कानूनी प्रणाली में ऐसे दावे प्रस्तुत किए जाते हैं।

उन सभी शक्तिशाली कंपनियों को एक गाजर प्रदान करने के लिए, रणनीति उन कंपनियों को दायित्व से बचाने के लिए सेफ हार्बर ढांचे की उन्नति का प्रस्ताव करती है जो साबित कर सकती हैं कि उन्होंने अपने सॉफ़्टवेयर की सुरक्षा के लिए वह सब कुछ किया है जो उन्हें करना चाहिए। सेफ हार्बर शब्द दस्तावेज़ में केवल दो बार दिखाई देता है। आप शायद सोच रहे होंगे कि वास्तव में यह प्रस्तावित ढाँचा क्या है, यह कहाँ से आया है, और वर्तमान में कौन से शब्द इसमें शामिल हैं या शामिल करने का प्रस्ताव है।

इस लेख में, हम मौजूदा सेफ हार्बर कानूनों पर गौर करेंगे और देखेंगे कि वे वर्तमान में कहां लागू होते हैं और वे उन कंपनियों को क्या पेशकश करते हैं जो उनका पालन करती हैं। 

मौजूदा सेफ हार्बर कानून क्या हैं? वर्तमान में सुरक्षित आश्रय प्रदान करने वाले कानूनों की खोज

आज तक, कई राज्यों ने परिचय दिया है डेटा भंग मुकदमेबाजी "सेफ हार्बर" कानून जो व्यवसायों को उनकी साइबर सुरक्षा के साथ सक्रिय होने के लिए प्रोत्साहित करने के उद्देश्य से डेटा उल्लंघनों के परिणामस्वरूप दायित्व के लिए सकारात्मक बचाव प्रदान करते हैं। एक संगठन को साइबर सुरक्षा कार्यक्रमों को लागू करना और बनाए रखना चाहिए जो उद्योग-मान्यता प्राप्त सर्वोत्तम प्रथाओं मानकों का पालन करते हैं और सुरक्षित हार्बर सुरक्षा के लिए अर्हता प्राप्त करने के लिए उल्लंघन के समय उनके साथ उचित अनुपालन प्रदर्शित करने में सक्षम होना चाहिए।

ओहियो 2018 में साइबर सुरक्षा सकारात्मक रक्षा पारित करने वाला पहला राज्य था। कनेक्टिकट और यूटा हाल ही में 2021 में उनके अधिनियमों को अपनाया गया। इसी तरह के सेफ हार्बर कानून कई अन्य राज्यों द्वारा प्रस्तावित किए गए हैं। विशेष रूप से, 2020 में आयोवा और न्यू जर्सी द्वारा और 2021 में जॉर्जिया और इलिनोइस द्वारा (देखें) यहाँ उत्पन्न करें अधिक जानकारी के लिए)। हालाँकि ये सभी प्रस्ताव साइबर सुरक्षा कार्यक्रमों वाले व्यवसायों को सकारात्मक सुरक्षा प्रदान करते हैं, सटीक स्थितियाँ राज्य पर निर्भर करती हैं। उदाहरण के लिए, कनेक्टिकट, ओहियो और यूटा बिल में उल्लिखित उद्योग-मानक ढांचे जॉर्जिया बिल में विशेष रूप से सूचीबद्ध नहीं हैं। इसके बजाय जॉर्जिया कानून एक "उचित" ढांचे को अनिवार्य करता है जो कंपनी के आकार, जटिलता और संरक्षित की जा रही जानकारी की संवेदनशीलता को ध्यान में रखता है। हालाँकि यह रणनीति अन्य राज्यों में कानूनों का एक प्रमुख घटक है, लेकिन ऐसा प्रतीत होता है कि जॉर्जिया बिल ने विकल्पों को उन विशिष्ट रूपरेखाओं तक सीमित नहीं रखने का निर्णय लिया है।

स्वीकार्य मानकों के संदर्भ में, आज सबसे आम अमेरिकी साइबर सुरक्षा ढांचा एनआईएसटी का एसएसडीएफ है (एनआईएसटी 800-218) और इस रूपरेखा का उल्लेख व्हाइट हाउस रणनीति पत्र में भी किया गया है। 

यह ध्यान रखना महत्वपूर्ण है कि इनमें से किसी भी मामले में दायित्व से सुरक्षा पूर्ण नहीं है। यदि कोई संगठन किसी खतरे या भेद्यता के बारे में जानता था और समय पर इसे संबोधित करने के लिए उचित कार्रवाई करने में विफल रहा, जिससे डेटा उल्लंघन हुआ, तो सेफ हार्बर का उपयोग बचाव के रूप में नहीं किया जा सकता है। कुल मिलाकर, कानून के पीछे का विचार कंपनियों को अपनी सुरक्षा के लिए सर्वोत्तम अभ्यास करने के लिए प्रोत्साहित करना है। यदि वे उद्योग-मान्यता प्राप्त सर्वोत्तम प्रथाओं द्वारा आवश्यक न्यूनतम कार्य करने में भी विफल रहते हैं, तो अनिवार्य रूप से डेटा उल्लंघन होने पर उन्हें अपनी जिम्मेदारी से मुक्त नहीं किया जा सकता है। 

इस साइबर सुरक्षा रणनीति में सीआईएसए की क्या भूमिका है?

अप्रैल 2023 को, CISA ने सॉफ़्टवेयर सुरक्षा के लिए एक नई संयुक्त मार्गदर्शिका जारी की जिसका नाम है साइबर सुरक्षा जोखिम का संतुलन बदलना: डिज़ाइन-दर-डिज़ाइन और डिफ़ॉल्ट सिद्धांत. यह नीति मार्गदर्शिका व्हाइट हाउस के रणनीति पत्र के जारी होने के लगभग एक महीने बाद सामने आई और इसका प्रभाव स्पष्ट रूप से देखा जा सकता है। दुनिया भर की कई साइबर सुरक्षा एजेंसियों के समर्थन से, CISA का लक्ष्य वही दृष्टिकोण अपनाना है जो व्हाइट हाउस प्रस्तावित करता है और इसे वैश्विक बनाना है। गाइड का लक्ष्य प्राप्त करना है सॉफ़्टवेयर निर्माताओं को अपने उत्पादों और कोड की ज़िम्मेदारी लेने के लिए मौलिक पारदर्शिता का उपयोग करना होगा और सुरक्षित उत्पाद बनाने होंगे, ऐसे उत्पाद विकसित करने होंगे जो डिज़ाइन द्वारा सुरक्षित हों और डिफ़ॉल्ट रूप से सुरक्षित हों।

जानकारी की एक और परत जो आपके घटकों के बारे में उपयोगी होती है वह है उनका लाइसेंस। बहुत सारे ओपन-सोर्स घटक ऐसे लाइसेंस के साथ आते हैं जो व्यावसायिक उपयोग के अनुकूल नहीं है। यह सुनिश्चित करना महत्वपूर्ण है कि आपके सभी ओपन-सोर्स घटक, यहां तक ​​कि वे भी जिन्हें आपने स्वयं शामिल नहीं किया था लेकिन किसी अन्य घटक द्वारा शामिल किया गया था, आप उनके लाइसेंस के संदर्भ में जो कुछ भी बनाने का प्रयास कर रहे हैं, उसके साथ संगत हैं।

इन मौलिक विचारों को सीआईएसए गाइड में विस्तारित किया गया है, जो सॉफ्टवेयर डेवलपर्स को उनके उत्पादों को अधिक सुरक्षित बनाने के लिए कार्रवाई योग्य सिफारिशों की एक लंबी सूची भी प्रदान करता है।

यह देखना दिलचस्प है कि इनमें से कितनी विशिष्ट सिफ़ारिशें किस पर आधारित हैं एनआईएसटी का एसएसडीएफ ढांचा लेकिन कम स्वैच्छिक, अधिक व्यावहारिक तरीके से व्यक्त किया गया। उदाहरण के लिए, गाइड में कहा गया है कि सॉफ्टवेयर डेवलपर्स को इसके निर्माण को शामिल करना चाहिए an एसबीएम उनके सॉफ़्टवेयर के घटकों में दृश्यता प्रदान करने के लिए उनके SDLC में। हालांकि एसएसडीएफ एसबीओएम की अनुशंसा करता है लेकिन इसका कभी भी स्पष्ट, अनिवार्य निर्देश के रूप में उल्लेख नहीं किया गया है।

उत्तरदायित्व परिवर्तन को वैध बनाना

राष्ट्रीय साइबर सुरक्षा रणनीति, या कम से कम इसका यह हिस्सा, मौजूदा राज्य कानूनों के आधार पर एक एकीकृत सुरक्षित हार्बर ढांचा बनाने का प्रस्ताव करता है, लेकिन कहीं अधिक व्यापक और विस्तृत है। एक बात के लिए, मौजूदा कानून केवल डेटा उल्लंघन के मामले में दायित्व से सुरक्षा प्रदान करते हैं। प्रस्तावित ढांचा किसी साइबर घटना के लिए किसी भी दायित्व के लिए तब तक काम करेगा जब तक मुकदमा चलाने वाली कंपनी एसएसडीएफ जैसी मौजूदा सर्वोत्तम प्रथाओं के अनुपालन को प्रदर्शित कर सकती है।

प्रस्तावित ढाँचा अनुकूलनीय होना चाहिए और नए सुरक्षा ढाँचे और नई सर्वोत्तम प्रथाओं को शामिल करने के लिए विकसित होने में सक्षम होना चाहिए क्योंकि वे खोजे और कार्यान्वित किए जाते हैं। रणनीति में सुरक्षा प्रकटीकरण कार्यक्रमों और अतिरिक्त एसबीओएम टूल और उपयोग के मामलों के विकास में निवेश जारी रखने का प्रस्ताव है।

जिम्मेदारी में गंभीर बदलाव के बिना सॉफ्टवेयर पारिस्थितिकी तंत्र आगे नहीं बढ़ सकता जैसा कि अब तक हुआ है। यह सभी को स्पष्ट होना चाहिए, उत्पादकों और उपयोगकर्ताओं को समान रूप से, कि प्रारंभिक विचार और डिज़ाइन चरण से शुरू करके किसी भी सॉफ़्टवेयर उत्पाद में सुरक्षा सबसे पहले और सबसे महत्वपूर्ण आती है। विकास पूरा होने के बाद सुरक्षा को बाद के विचार के रूप में नहीं जोड़ा जाना चाहिए। दायित्व परिवर्तन निजी क्षेत्र के बिना नहीं हो सकता है और चूँकि यह क्षेत्र संघीय भारी-भरकम भागीदारी के प्रति घृणा के लिए कुख्यात है, 'जेल से मुक्त हो जाओ' कार्ड के रूप में 'गाजर' की पेशकश करने का विचार एक अच्छा प्रोत्साहन है .

साइबर सुरक्षा की सर्वोत्तम प्रथाओं का पालन कैसे साबित करें

एक ऐसा कानून होना जो कहता है कि आपको 'मौजूदा सर्वोत्तम प्रथाओं के प्रति अपना पालन साबित करने' की आवश्यकता है, तो आप इसके बारे में कैसे सोचेंगे? वर्तमान अमेरिकी नियम और एसएसडीएफ जैसी सर्वोत्तम प्रथाएं सॉफ्टवेयर निर्माताओं को इसका उपयोग करने के लिए प्रोत्साहित करती हैं सत्यापन उनकी आपूर्ति श्रृंखला को सुरक्षित करने के लिए और इस प्रकार ऐसा सबूत देने के लिए. 

सत्यापन सत्यापन योग्य, क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित साक्ष्य के टुकड़े हैं (जैसे फ़ाइलें, फ़ोल्डर्स, रिपॉजिटरी, फ़ाइल उद्गम, या परीक्षण परिणाम)। इस तरह के साक्ष्य को एक विशिष्ट पर्यावरणीय संदर्भ से जोड़ा जाना चाहिए, जिससे सत्यापन साक्ष्य का एक अपरिवर्तनीय टुकड़ा बन जाए जिसे घटना या गवाही दी गई फ़ाइल के अस्तित्व को साबित करने के लिए सत्यापित किया जा सके।

स्क्राइब नामक एक उपकरण प्रदान करता है वैलिंट जो साक्ष्य उत्पन्न करने, उसे सत्यापन में हस्ताक्षरित करने और बाद में उसे पुनः प्राप्त करने और सत्यापित करने की क्षमता प्रदान करता है। के साथ संयोजन में इस उपकरण का उपयोग करना स्क्राइब हब मंच आप न केवल अपने अंतिम उत्पाद के लिए, बल्कि उस तक पहुंचने वाले प्रत्येक निर्माण के लिए सत्यापन का एक साक्ष्य पथ तैयार कर सकते हैं, जो केवल एक ही बिंदु पर नहीं बल्कि निर्माण पूरा होने के ठीक बाद लगातार और समय के साथ सुरक्षा सर्वोत्तम प्रथाओं के पालन को प्रदर्शित करता है। .

स्क्राइब वैलिन्ट का निःशुल्क उपयोग प्रदान करता है और अपने प्लेटफ़ॉर्म का उपयोग फ्रीमियम आधार पर प्रदान करता है - आप अभी इसके साथ निःशुल्क प्रयोग शुरू कर सकते हैं। स्क्राइब को मुफ़्त में आज़माएँ और देखें कि यह आपको कौन से उपकरण और क्षमताएं प्रदान करता है। आपके प्रत्येक निर्माण के लिए लगातार ऐसे साक्ष्य एकत्र करना आपको समय के साथ अपने उत्पादों की सुरक्षा का एक अनूठा परिप्रेक्ष्य भी प्रदान कर सकता है। चूँकि ऐसा लगता है कि परिवर्तन की प्रचलित बयार सॉफ्टवेयर निर्माताओं की ज़िम्मेदारी के विस्तार की ओर इशारा कर रही है, इसलिए यह एक अच्छा विचार है कि अपने ठोस सबूत और सत्यापन अभी से एकत्र करना शुरू कर दें, न कि इसके कानून में संहिताबद्ध होने की प्रतीक्षा करें।

संबंधित पोस्ट

GitHub कमजोरियाँ समानांतर अनुसंधान

पिछले महीने मुझे डार्क रीडिंग का यह लेख मिला। बड़ी जानी पहचानी लगी। मुझे यह समझने में देर नहीं लगी कि लेख में चर्चा की गई GitHub क्रॉस-वर्कफ़्लो आर्टिफैक्ट पॉइज़निंग भेद्यता GitHub क्रॉस-वर्कफ़्लो कैश पॉइज़निंग भेद्यता से काफी मिलती-जुलती है, जिसकी हमने मार्च 2022 में रिपोर्ट की थी। GitHub वर्कफ़्लोज़- GitHub का एक प्रमुख घटक […]

आपकी सीआई/सीडी पाइपलाइन के अंदर वास्तव में क्या हो रहा है, इसके बारे में आप कितने आश्वस्त हैं? आपको किन तत्वों की सुरक्षा करनी चाहिए, और कैसे

सीआई/सीडी पाइपलाइन इस बात को लेकर बेहद अपारदर्शी हैं कि वास्तव में अंदर क्या होता है। भले ही आपने ही YAML कॉन्फिग फ़ाइल (निर्देशों की पाइपलाइन सूची) लिखी हो, आप यह कैसे सुनिश्चित कर सकते हैं कि सब कुछ बिल्कुल वर्णित तरीके से होता है? इससे भी बुरी बात यह है कि अधिकांश पाइपलाइनें पूरी तरह से अल्पकालिक हैं इसलिए यदि कुछ बुरा होता भी है तो कोई […]

क्या होता है जब एक एआई कंपनी सॉफ्टवेयर आपूर्ति श्रृंखला की भेद्यता का शिकार हो जाती है

20 मार्च को OpenAI ने लोकप्रिय जेनरेटिव AI टूल ChatGPT को कुछ घंटों के लिए बंद कर दिया। बाद में इसने स्वीकार किया कि आउटेज का कारण सॉफ़्टवेयर आपूर्ति श्रृंखला भेद्यता थी जो ओपन-सोर्स इन-मेमोरी डेटा स्टोर लाइब्रेरी 'रेडिस' में उत्पन्न हुई थी। इस भेद्यता के परिणामस्वरूप, एक समय विंडो थी (सुबह 1-10 बजे के बीच […]