Mer än 60 företag förbinder sig till CISA Secure by Design-åtagandet för att förbättra programvarusäkerheten. Det frivilliga initiativet diskuteras i jämförelse med den bindande EU Cyber Resilience Act.
Deltagarna i initiativet har förbundit sig att uppnå betydande framsteg inom tolv månader inom sju områden:
- Förbättrad användning av multifaktorautentisering
- Ersätta standardlösenord med säkra alternativ
- Minska mottagligheten för vanliga sårbarheter som SQL-injektioner
- Förbättra kunders installation av säkerhetspatchar
- Etablera en policy för sårbarhetsavslöjande
- Snabb tilldelning av CVE-ID till rapporterade sårbarheter
- Underlätta insamling av information efter säkerhetsincidenter
Även om detta åtagande är ett viktigt steg, förblir det frivilligt och juridiskt icke-bindande. I kontrast till detta lovar European Cyber Resilience Act (CRA) en starkare och bindande effekt på industrin genom sina regulatoriska åtgärder och möjliga sanktioner för bristande efterlevnad. På grund av den europeiska inre marknadens storlek har CRA en demonstrativ effekt som också påverkar amerikanska företag och kan således bidra till en högre säkerhetsnivå världsvitt.
Erfarenheten visar att trots de goda intentionerna bakom självåtaganden är bindande krav ofta nödvändiga för att säkerställa bred och hållbar implementering av säkra metoder. Framtiden för cybersäkerhet behöver både frivilliga initiativ och strikta lagar.
Mer information om självåtagandet och de konkreta åtgärderna finns här: https://www.cisa.gov/securebydesign/pledge