In December 2024, de Cyber Resilience Act (CRA) In Europa in werking getreden en het begin van de overgangsperiode voor organisaties en bedrijven markeren om zich aan te passen aan de nieuwe cybersecurity -eisen. Dit regelgevende document heeft als doel de kwaliteits- en beveiligingsnormen te verbeteren door fabrikanten en retailers te verplichten digitale componenten te ondersteunen en bij te werken gedurende de levenscyclus van hun producten. De CRA behandelt zowel hardware als software, die niet alleen van invloed is op EU -fabrikanten, maar ook importeurs, dus de Amerikaanse bedrijven die hun producten in EU -landen opereren of verkopen, zullen ook worden beïnvloed. De wetgeving zal diepgaande invloed hebben op verschillende marktsegmenten, zoals Internet of Things -producten. Hoewel bedrijven tot 2027 hebben, wanneer compliance -verplichtingen verplicht worden, markeert de CRA een belangrijke stap in het erkennen van het belang van cybersecurity voor een groot aantal producten en het creëren van structuren die de belangen van de eindklanten zullen beschermen. Anton Snitavets, een hoofdinformatiebeveiligingsingenieur bij Doumo, een senior lid van IEEE, een medelid van de Hackathon Raptors Community, en een gecertificeerde professional voor informatiebeveiliging, legt uit wat de moderne benadering van cybersecurity inhoudt en welke factoren bedrijven in rekening moeten houden om hun klanten en zichzelf te beschermen.
De verschuiving naar een geïntegreerde aanpak
Anton Snitavets wijst erop dat cybersecurity een integraal onderdeel van hun activiteiten is geworden voor meer bedrijven, niet alleen enkele beschermende maatregelen of beveiligingsregels die aan bestaande processen worden opgelegd. Dit geldt met name voor bedrijven die gespecialiseerd zijn in softwareontwikkeling. Anton stuitte op een soortgelijk probleem in 2017 toen hij begon te werken bij Aras Corp als Devsecops -ingenieur. Om het softwareontwikkelingsproces te verbeteren, implementeerde hij de Secure Software Development Lifecycle (SSDLC), waardoor het softwareontwikkelingsproces aanzienlijk veiliger werd door nieuwe middelen toe te voegen om cybersecurity -risico’s te detecteren en te elimineren voordat ze leiden tot negatieve gevolgen. Hij integreerde de bestaande softwareoplossingen samen met de aangepaste die hij zelf ontwikkelde, waardoor het softwareontwikkelingsproces productiever en betrouwbaarder werd. In het bijzonder verbeterde hij het proces van het ontwikkelen van updates voor de ARAS Innovator -software, een technische productbeheeroplossing die door ARAS -klanten wordt gebruikt, met grote technische bedrijven zoals General Motors en Airbus waaronder. Als gevolg hiervan verhoogde hij binnen 3,5 jaar de productkwaliteit aanzienlijk, elimineerde hij meerdere kwetsbaarheden in de software en verhoogde hij de stabiliteit en beveiliging, wat vooral belangrijk is voor een softwareoplossing die wordt gebruikt voor complexe engineeringtaken. Nadat hij onlangs bij Doumo is gekomen, implementeert hij soortgelijke benaderingen als een hoofdinformatiebeveiligingsingenieur en werkt hij aan de integratie van de SSDLC met cloudinfrastructuur.
‘Het feit dat meer bedrijven, vergelijkbaar met de twee hierboven genoemde, aanzienlijke inspanningen richten op het veiliger maken van de ontwikkelingsprocessen, benadrukt dat om beveiligingsmaatregelen efficiënt te zijn, ze een integraal onderdeel van de softwareontwikkelingscyclus moeten worden, “ Hij merkt op. “De bedrijven die deze aanpak nog niet hebben geïmplementeerd, moeten leren deze toe te passen tijdens de ontwikkelingslevenscyclus.”
Ontwikkeling van oplossingen op maat
Deze verschuiving naar een meer integrale benadering van informatiebeveiliging leidt tot een andere belangrijke verandering. Bedrijven moeten op maat gemaakte oplossingen ontwikkelen die hun behoeften precies beantwoorden in plaats van te vertrouwen op gemakkelijk gecreëerde. “Ready-gemaakte oplossingen omvatten niet vaak alle gevallen en scenario’s, waardoor specifieke kwetsbaarheden onbeschermd achterblijven of, omgekeerd, bedrijfsmiddelen verspillen aan maatregelen die in een bepaald geval niet nodig zijn”, legt Anton Snitavets uit. “Dit is de reden waarom bedrijven oplossingen nodig hebben die rekening houden met de bijzonderheden van hun activiteiten en gerelateerde gemeenschappelijke risico’s.” Zijn ervaring biedt voldoende voorbeelden van waarom het ontwikkelen van oplossingen op maat en het verklaren van specifieke situaties en bedreigingen essentieel is, omdat het het ontwikkelingsproces verbetert en het product veiliger maakt voor de eindgebruiker. Bij ARAS Corp ontwikkelde en implementeerde hij een oplossing voor codeanalyse waarmee ontwikkelaars kwetsbaarheden zoals SQL -injecties en path -traversale risico’s in de productcode konden detecteren, evenals kwetsbaarheden die specifiek zijn voor een bepaald product. Nadat de analysator was geïmplementeerd, werden enkele tientallen kwetsbaarheden gedetecteerd en vastgesteld. Bovendien maakte de implementatie van de analysator het product veiliger en veilig voor eindgebruikers om aangepaste oplossingen te ontwikkelen, waardoor ze in de vroege stadia van ontwikkeling potentiële risico’s kunnen detecteren en oplossen.
Anton Snitavets vermeldt dat nog meer kritieke conceptbedrijven moeten aannemen: ze zullen zich moeten concentreren op het voorkomen van bedreigingen en proactief handelen in plaats van zich uitsluitend te concentreren op het beschermen van bekende bedreigingen en reageren op inbreuken die al zijn gebeurd. Om dit doel te bereiken, is een flexibel systeem van analyse en rapportage vereist, waardoor het bedrijf de huidige status van de infrastructuur kan controleren, potentiële risico’s kan voorspellen en detecteren en deze te elimineren voordat ze verliezen veroorzaken. Dit is het soort werk dat Anton Snitavets werd uitgevoerd bij Jabil Inc., waar hij vanaf 2022 werkte als cloudbeveiligingsingenieur. Om de houding van de beveiligingsconformiteit in het bedrijf te verbeteren, ontwikkelde hij een oorspronkelijk rapportagekader om onmiddellijk op de hoogte te worden van de beveiligingsstaat van de cloudbronnen. Om dit te doen, heeft hij bestaande beveiligingsnormen aangepast. Hij integreerde een softwareoplossing om gegevens te verzamelen over de status van de cloudinformatie die een cruciale rol speelde in bedrijfsactiviteiten, waardoor de beoordeling van de beveiligingscompliance op het hoogst mogelijke niveau werd geholpen.
De noodzaak van continu leren
Het is belangrijk om toe te voegen dat technologie constant vooruit gaat, en samen met nieuwe beschermende maatregelen ontstaan er nieuwe bedreigingen. “Hoewel cybersecurity -professionals nieuwe, robuustere en veerkrachtiger manieren ontwikkelen om gegevens te beschermen en de stabiele activiteiten van de digitale infrastructuur te waarborgen, vinden kwaadaardige actoren nieuwe aanvalsvectoren, die proberen opkomende technologie in hun voordeel te gebruiken,” Legt Anton Snitavets uit. Daarom is het noodzakelijk voor een cybersecurity -professional om continu te leren, zowel in theorie als praktijk, nieuwe methoden en oplossingen te verkennen en efficiënte manieren te vinden om ze toe te passen op de taken die voor de hand zijn.
Gedurende zijn carrière heeft Anton Snitavets dit principe gevolgd. Zelfs tijdens het studeren begon hij te werken als softwareontwikkelaar en kreeg hij ervaring op die een solide basis vormde voor zijn toekomstige carrière. Vervolgens werkte hij continu aan het verwerven van professionele certificeringen, waaronder de Certified Information Systems Security Professional (CISSP), die wordt beschouwd als een van de meest uitdagende cybersecurity -certificeringen.
“IT is belangrijk om het verwerven van formele certificeringen te combineren, die de professionele vaardigheden van het individu bewijzen, met een constante verkenning van opkomende technologieën en nieuw verworven kennis in de praktijk brengen, ” Legt Anton Snitavets uit. “Een cybersecurity -expert worden vereist een hoge toewijding en discipline omdat de kosten van fouten aanzienlijk kunnen zijn.
Men moet constant vooruitgaan en proactief handelen om efficiënte informatiebeveiligingsprocessen te implementeren. Nieuwe regelgevende maatregelen zoals CRA zullen bedrijven ertoe aanzetten betere beveiligingspraktijken aan te nemen. Zelfs voordat ze verplicht worden, moeten bedrijven echter hun benadering van cyberbeveiliging bevorderen om zichzelf en hun klanten te beschermen tegen opkomende bedreigingen. ‘
