Mkuu wa CISA anayemaliza muda wake Jen Pasaka hivi karibuni alilinganisha maendeleo salama ya programu na usalama wa magari, akisema kwamba tulikuwa katika eneo la inflection sawa na 1965 wakati Ralph Nader alichapisha kitabu hicho kisichokuwa na kasi yoyote. Kitabu kilichochea hasira ya umma juu ya usalama barabarani, ambayo ilisaidia kukuza kupitishwa kwa hatua za ubunifu za usalama wa gari. Baada ya kusoma machapisho ya Jen juu ya mada, swali wazi linabaki: Je! Kweli tuko katika hatua ambayo tunaweza kutumia hasira dhidi ya hatari ya programu ya kutokuwa na usalama kuendesha mabadiliko ya maana? Wacha tuone ikiwa tunaweza kutazama swali hili kwa kweli na kuamua ni nini kinachohitajika kutokea mnamo 2025 pamoja na shinikizo la umma lililoendelea. Kwa wanunuzi wa programu ya CISO na IT, mbali na uboreshaji wako wa kila siku, ukitaka programu unayonunua iko salama, na wachuuzi wako wanaahidi kupata kanuni za muundo, unapaswa kuzingatia nini mnamo 2025 kusaidia kusonga sindano? Nionyeshe motisha, na nitakuonyesha matokeo kulinganisha kati ya hatari ya gari katika miaka ya 1960 na hatari ya programu katika enzi ya kisasa inaonekana. Ubunifu wa teknolojia ya haraka umesababisha bidhaa zisizo salama kutumiwa kila siku. Ulimwengu wa programu, kama tasnia ya magari katika miaka ya 60, inatoa kasi ya kutolewa, huduma na utendaji, na kusukuma mipaka na mipaka ya matumizi salama, yote kwa jina la kuuza bidhaa zaidi na kubuni matoleo mapya haraka kuliko washindani wako. Watengenezaji wa programu wanakabiliwa na shinikizo ya kutolewa bidhaa haraka iwezekanavyo, mara nyingi kwa gharama ya usalama wa msimbo. Usalama hugundulika kama kupunguza kasi ya mzunguko wa maendeleo na mara nyingi huwa ni wazi baada ya ukweli. Ili kunukuu Charlie Munger mkubwa, “Nionyeshe motisha, na nitakuonyesha matokeo.” Watengenezaji wa programu hawaandiki nambari salama kwa sababu hawana motisha ya kufanya hivyo. Ili kufanya mambo kuwa mabaya zaidi, kampuni wanazofanya kazi zina motisha kidogo ya kuzingatia usalama wa bidhaa zao. Wanunuzi wa IT na CISO wamekuwa wakinunua nambari ya kutokuwa na usalama kwa muda mrefu kama nambari imekuwepo. Sekta ya magari ilikuwa na shida kama hiyo – magari yaliyonunuliwa hadi wakati huo hayakununuliwa kwa sababu yalikuwa salama. Watu hawakuenda kwenye uuzaji wa magari (je! Walikuwa na wafanyabiashara katika miaka ya 60?) Na kuuliza maswali juu ya ukadiriaji wa usalama wa gari au ikiwa ilikuwa na safu ya usukani na dashibodi iliyowekwa. Walinunua magari kulingana na kuangalia, mtindo, kasi ya juu na kuongeza kasi, na muhimu zaidi, furaha waliyopokea wakati wa kuendesha hali mpya ya usafirishaji. Usalama haukuwa jambo linalohitajika na kwa hivyo lilikuwa la kufikiria. Hii ni sawa na jinsi tumeunda na kununua programu hadi leo. Tunatoa kipaumbele na kununua kulingana na thamani tunayopata kutoka kwa programu, bila kupendezwa na jinsi ilivyo salama. Hakuna motisha ya kuweka kipaumbele usalama wakati sio yale ambayo wanunuzi wanadai. Sekta ya magari ilihitaji utambuzi wa watumiaji, na kusababisha kilio cha viwango bora vya usalama kabla ya watengenezaji wa gari “kupoteza wakati wao” kwenye huduma za usalama wa bidhaa. Hatutaona wakati wa ‘salama kwa kasi ya programu’ mnamo 2025 tasnia ya programu haijajifunza kutoka kwa tasnia ya magari ya zamani kwa sababu muhimu chache. Kwanza kabisa, unapoingia kwenye ajali ya gari, kuna nafasi isiyo ya kawaida ya kupoteza maisha. Watu hufa wakati hakuna huduma za usalama zilizopo kwenye magari yao, na hata idadi ndogo ya vifo haikubaliki kwa umma. Matokeo ya ajali ya gari yalikuwa ya haraka na ya visceral na iliacha hisia za kudumu katika akili za wale ambao walikuwa katika moja au waliona moja. Programu ni tofauti. Wakati programu kwenye Runinga yako, kwa mfano, inavunja, unaiweka tena. Hadi hivi karibuni, katika hali mbaya zaidi, idadi kubwa ya dosari za programu zilisababisha maelewano ya chombo kisichojulikana cha ushirika bila kuzaa kwa watu wengi. Hakika, kunaweza kuwa na nafasi ndogo sana kwamba akaunti zao zilidhoofishwa, pesa zilizoibiwa moja kwa moja kutoka kwao, au udanganyifu ulipitishwa dhidi yao, lakini ulimwengu mwingi wa watumiaji unaamini kuwa “hiyo haitatokea kwangu,” na kwa sheria ya Idadi kubwa, labda wako sawa. Na ikiwa inafanya hivyo, ni bima, kufunikwa kwa upotezaji, na, wakati mwingi, wanakabiliwa na shida ya kuruka kupitia hoops nyingi ili kupata kile walichopoteza. Kwa sababu ya mtazamo huu wa laissez-faire kuelekea hatari, ni rahisi zaidi kwa tasnia ya programu kupuuza shida, kuiandika kama gharama ya kufanya biashara. Kwa maneno mengine, hakuna mahitaji ya mabadiliko. Mbali na tofauti ya hatari kati ya magari na udhaifu wa programu, ugumu wa mazingira ya programu huzunguka ile ya gari la miaka ya 1960. Ikiwa tunaweza kutekeleza haraka michakato ya programu nne hadi sita na kurekebisha usajili mzima wa hatari ya programu ya ulimwengu, naahidi tungefanya. Shida ni ngumu zaidi na ngumu kurekebisha kuliko wazalishaji wakubwa wa magari 10 ya miaka ya 1960 walipaswa kujua. Ikiwa tu kampuni 10 za ukuzaji wa programu zilikuwepo leo, itakuwa rahisi kuamuru mabadiliko. Walakini, programu iko katika kila kitu tunachogusa. Kutoka kwa vifaa vya IoT hadi vifaa vya nyumbani kwa vitu vya kuchezea vya watoto – programu imekula ulimwengu, na kufanya kupata programu hiyo kuwa kazi ngumu zaidi kukamilisha. Wajenzi wa gari walipaswa kufanya mabadiliko machache kwa bidhaa zao na walikuwa tayari kuuza. Hawakuhitajika kubadilisha ulimwengu mzima wa utengenezaji kwa kila bidhaa inayopatikana kwa umma ili kuelekea usalama. Hapa ndipo kulinganisha kunaanguka. SBD na kushinikiza kupata programu yetu kiwango hiki cha kushangaza cha ugumu kinauliza swali la nani anayewajibika kurekebisha shida. Mnamo Mei 2024, kulikuwa na kushinikiza kubwa kwa wachuuzi wa programu kusaini ahadi ya “Salama na Design (SBD).” Hivi sasa, kampuni zaidi ya 250 zimejitolea kufuata salama kwa kanuni za muundo na kuhakikisha kuwa programu yao imeundwa na viwango vya usalama wa hali ya juu katika kila hatua ya mchakato wa maendeleo. Ninapenda salama kwa ahadi ya kubuni, lakini kampuni 250 ni kushuka kwa ndoo; Kulingana na Cyberdb kuna kampuni zaidi ya 3,500 za usalama wa cyber pekee. Hizi ni kampuni tu ambazo zinafanya kazi kupata maisha yetu ya kila siku. Saini 250 ni blip tu ikilinganishwa na idadi ya kampuni nchini Merika. Baadhi ya utafiti unadai zaidi ya biashara milioni 33 mnamo 2024 huko Amerika pekee, wingi ambao ni biashara ndogo ndogo. Shida ngumu ni kufikia hatua inayohitajika kwa biashara kote Amerika, na ulimwengu, kugundua kuwa hatari hiyo ni kubwa sana na mahitaji ya mabadiliko kutoka kwa wachuuzi wa programu yao. Utafiti kutoka kwa Chuo Kikuu cha Annenberg cha Chuo Kikuu cha Pennsylvania cha Mawasiliano na Shule ya Uhandisi na Sayansi inayotumika inaonyesha kuwa takriban 25% ya idadi ya watu inahitajika kugonga hatua ya mabadiliko makubwa ya kijamii. Hatuko karibu hata. Ninachofikiria tunapaswa kuwa tunafikiria sio jinsi tunavyorekebisha shida za usalama wa kanuni au haraka, lakini badala yake, jinsi tunavyofika mahali pa kupendeza ambapo muundo wa motisha unabadilika na programu ya ulimwengu huanza kujirekebisha. Ikiwa tunafikiria juu ya njia hii, tunaona haraka kwamba mabadiliko yatakuja tu wakati msingi wa mahitaji ya mnunuzi na kanuni zilizowekwa na serikali zinatekelezwa. Kurekebisha nambari salama kama harakati mnamo 2025 kutokana na mtazamo mbaya na matarajio ya hasira ambayo nimewasilisha, labda unajuta kusoma nakala hii. Ningependa wewe uondoke na wazo tofauti katika ubongo wako na labda ukabiliane 2025 kama mwaka ambao tasnia ya programu inaweza kusonga karibu na hatua ya kuinua programu salama zaidi. Sawa na maswala yaliyojadiliwa kwa usalama kwa kasi yoyote, kampuni ambazo zinaandika programu ya aina yoyote zitaendelea kushinikiza umiliki wa shida na kujaribu kupuuza au kupuuza jukumu la afya, usalama, na maswala ya usalama ambayo yanaonekana. Kama programu inatumiwa zaidi katika hali ya maisha na kifo kama vile huduma ya afya, magari, mawasiliano ya dharura, nk Mahitaji ya biashara na mnunuzi kwa hatari ndogo yataongezeka. Ikiwa tuna sauti kubwa ya kutosha, wakati fulani, dhima ya programu itabadilika kwa wale wanaounda bidhaa, na inapofanya hivyo, miundo ya motisha itabadilika, na kampuni zitatilia maanani zaidi hatari kwa biashara zao. Kwa kusikitisha, sidhani kama tutaweza kufikia hatua ambayo biashara zinajali vya kutosha juu ya usalama wa kanuni ili kuiweka kipaumbele kwa sababu ni jambo sahihi kufanya kwa wateja wao. Badala yake, ili kufikia malengo yetu, lazima tufanye iwe muhimu kwa afya na mafanikio ya biashara zao kuandika nambari salama zaidi, na njia pekee ya kufanya hivyo ni kuwa ya sauti kubwa na ya mabadiliko. Kwa hivyo, unaweza kufanya nini kama CISO na mnunuzi wa programu ya IT mnamo 2025 kusaidia kusonga sindano na kukua kuelekea eneo salama la nambari? Kwanza kabisa, tunahitaji kila mmoja wako kuelimishwa juu ya hatari za dosari za programu na kusaidia kuelezea maswala haya kwa watengenezaji wa programu unayonunua au leseni. Watumiaji na watengenezaji lazima wajue zaidi juu ya umuhimu wa usalama na athari zinazowezekana za udhaifu wa programu kwa kampuni inayouza programu na watu wanaotumia. Pili, na uwezekano wa muhimu zaidi, lazima kushinikiza wawakilishi wako wa serikali na wakala kuwa elimu zaidi juu ya mada hiyo na kujenga kanuni na viwango vikali vya uundaji salama wa programu. Magari hayangeweza kuwa salama zaidi ikiwa mashirika ya serikali hayakuingia na kuweka kanuni na viwango mahali ambavyo vilidai kuwa magari ya gari kuwa na kiwango cha chini cha usalama. Lazima tuwe na kanuni katika ulimwengu wa programu ambao unaweka hatua ya kufikiwa, na ni kwa wanunuzi na watumiaji wa programu kushinikiza serikali mbele. Dhima lazima ibadilike kwa mjenzi, ambayo hufanyika tu wakati serikali inahusika. Itachukua jeshi, lakini ikiwa tutapiga kelele na kupiga kelele kwa muda mrefu kwa muda, kununua programu tu ambayo imeandikwa salama, na kufanya kiwango cha kutosha cha kelele, tunaweza kuendelea kuandamana polepole kuelekea uboreshaji. Maandamano ya polepole ya ‘salama kwa kasi zote’ tu salama kwa kasi yoyote ilikuwa wito wa kuamka kwa tasnia ya magari, ufahamu unaokua wa maswala ya usalama wa programu na athari za udhaifu kwa usalama wa binadamu na afya ni kujenga shinikizo kwa sawa Kuzingatia ulimwengu wa programu. Lazima tuendelee kusonga mbele kwa usalama wakati wote wa ulimwengu wa maendeleo ya programu. Sidhani kama tutaona hatua ya kuongezea mnamo 2025, lakini kila mmoja wetu lazima akaribie mabadiliko haya na kilio cha mkutano wa sare ili kujenga kiasi kinachohitajika kusikika katika viwango vya juu zaidi. Asante, Jen Easterly na timu ya CISA, kwa kazi ya msingi ambayo umefanya kuelekea harakati hii, na natumai 2025 ni mwaka ambao tutafanya kazi pamoja kuchukua hatua za kila siku kuelekea mafanikio.