美国主要的消费者保护机构的负责人周三访问了旧金山,在那里,她呼吁科技初创企业在争相向市场推出新应用程序的过程中,在纳入安全保护方面做得更好。
美国联邦贸易委员会(Federal Trade Commission)主席伊迪丝·拉米雷斯(Edith Ramirez)的言论放大了该机构的“从安全开始”(Start With Security)计划,该计划旨在鼓励企业优先考虑网络安全,将其作为产品开发的一个组成部分。
[相关阅读:启动安全的7大罪恶]
尽管拉米雷斯在周三直接对科技界发表了讲话,但他的努力面向的是各行各业的企业。拉米雷斯指出,在极短的时间内,该领域的公司推出了一系列应用程序,帮助人们绘制健康图表、管理理财以及与医生和护士沟通。但是,随着每一个收集或传输敏感信息的新工具的出现,安全威胁就会增加。
“软件革命已经给消费者和整个社会带来了巨大的利益,”Ramirez说。“但是,在一个万物互联的世界里,不安全的产品和服务可能会产生重大后果。”
拉米雷斯强调政府正在寻求与高新技术产业点燃作为促进安全合作伙伴的协作关系。
拉米雷斯说:“创业公司不仅是当今经济增长的重要引擎,也是我们保持市场安全的重要合作伙伴。”
在前美国国家安全局(National Security Agency)合同工爱德华·斯诺登(Edward Snowden)揭露了美国情报部门大规模的信息收集项目后,政府与科技行业的关系变得紧张。作为回应,谷歌和苹果等公司一直在努力加强自己的加密功能,显然是为了防止联邦调查局人员访问它们的系统,但高级情报和执法官员对此表示抗议。
[相关阅读:执法部门的后门向犯罪分子打开了公司网络]
拉米雷斯并没有解决这个问题,相反,她的讲话集中在一些文化和实际挑战上,这些挑战可能会把安全问题放在快速增长、资金短缺的初创企业的次要位置。
她呼吁科技界接受有时被称为“设计安全”(security by design)的理念,即在开发的最初阶段纳入一些核心安全特性。
“在急于创新,私密性和安全性也不容忽视,即使在快节奏的启动环境,”拉米雷斯说。“想想隐私和安全为您设计的产品。它嵌入到开发过程。”
[相关阅读:Snapchat违约被视为初创企业成长的烦恼]
联邦贸易委员会发布了企业安全提示指南
本周公布的美国联邦贸易委员会对企业(以PDF格式提供指导这里)报告概述了nsa从涉及数据操作的50多起针对公司的案件中得出的一些安全提示。
联邦贸易委员会指出,这些案件都以庭外和解告终,每个案件的细节都有所不同,但这些公司的安全框架中出现了某些共同的缺陷。例如,该机构正在敦促企业对其收集的数据进行合理的访问控制,强制使用强密码,并确保与之合作的第三方供应商有合理的安全政策。
拉米雷斯还呼吁科技初创公司在早期进行威胁评估,并在模拟应用程序如何在野外运行的情况下进行评估,从而在产品上市前有效地对其进行攻击,以确保安全特性能像设计的那样发挥作用。
拉米雷斯说:“评估你的产品时,要考虑到消费者在现实世界中会如何使用它。”“通常是出于经济上的原因,人们才会涌向市场,但要确保你的产品在上市前已经准备好了。”
然后,一旦该产品是活的,初创企业必须为缺陷的发现以及新出现的威胁保持警惕,担心安全问题。拉米雷斯认为,公司考虑设立一个错误赏金程序或指定点人担任的安全社区的联络人,有人研究人员可以联系时,他们发现了一个漏洞。
“错误是不可避免的,”她说,“当漏洞被发现,企业必须具备管理,处理和漏洞报告学习有效的策略。”
这个故事,“科技创业公司需要认真对待安全”最初发表首席信息官 。