Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
La eliminación por parte de la administración Trump de un requisito de certificación de seguridad para los proveedores de software federales podría cambiar la forma en que esas empresas demuestran la seguridad de sus productos a los clientes dentro y fuera del gobierno.
El 23 de enero, la Oficina de Gestión y Presupuesto de la Casa Blanca rescindida una directiva de la administración de Biden que decía a las agencias que exigieran a sus proveedores de software que completaran un formulario de certificación de seguridad desarrollado por la Agencia de Seguridad de Infraestructura y Ciberseguridad. El memorando decía que el requisito de certificación «imponía procesos de contabilidad de software engorrosos y no probados que priorizaban el cumplimiento sobre las inversiones genuinas en seguridad».
La decisión de la OMB de eliminar el requisito de certificación deja a las agencias decidir por sí mismas cuánta información solicitar a los proveedores sobre la seguridad de sus productos. La decisión provocó inmediatamente reacciones muy divididas en la comunidad de la ciberseguridad, y algunos expertos advirtieron que la medida socavaría los esfuerzos para impulsar a las empresas a adoptar mejores prácticas de seguridad.
“El proceso de autocertificación fue un trampolín hacia un software más seguro”, dijo Nicholas Leiserson, quien se desempeñó como subdirector nacional cibernético de políticas y programas cibernéticos durante la administración Biden. “Eliminando [the process] sin proporcionar un mecanismo de reemplazo es un inequívoco paso atrás para la ciberseguridad del gobierno”.
Allan Friedman, ex asesor principal y estratega de CISA que dirigió los esfuerzos para mejorar la transparencia del software, escribió en LinkedIn que los requisitos y el formulario de certificación de CISA estaban destinados a ayudar a las agencias que carecían de recursos para «diseñar sus propios enfoques de gestión de riesgos», así como a «ayudar a los proveedores a no tener que cumplir con docenas de requisitos únicos».
La OMB no respondió a una solicitud de comentarios.
El mandato de certificación fue parte de la estrategia de la administración Biden de utilizar el poder adquisitivo del gobierno para impulsar a los proveedores de software hacia prácticas de desarrollo más orientadas a la seguridad. CISA lideró esa estrategia a través de su Campaña Seguro por Diseñolo que alentó a las empresas a asumir una mayor carga por el funcionamiento seguro de sus productos. Los líderes de esa campaña dejó el gobierno temprano en la administración Trump, dejando su destino incierto.
Leiserson, quien ahora es vicepresidente senior de políticas en el Instituto de Seguridad y Tecnología, un grupo de expertos sin fines de lucro, dijo que la administración Biden diseñó el requisito de certificación para que fuera un “respaldo” para iniciativas más avanzadas como Secure by Design.
«Garantiza que la seguridad del software no se convierta en una ocurrencia tardía al facilitar la presentación de reclamos si un proveedor no cumple con sus obligaciones», dijo.
El gobierno ha estado tratando de lograr que los fabricantes de software asuman más responsabilidad por sus productos desde la década de 1990, dijo James Lewis, un veterano experto en política cibernética y ex funcionario gubernamental que ahora trabaja en el Centro de Análisis de Políticas Europeas (CEPA). Lewis calificó la eliminación del requisito de certificación de “idiotez” y “un paso atrás”.
proceso imperfecto
Los críticos del proceso de certificación dijeron que las agencias lo implementaron al azar, incluso después de que CISA desarrolló el formulario común para que lo utilicen todas las agencias. «Algunas agencias continuaron haciendo preguntas adicionales o enfatizando diferentes aspectos de los requisitos», dijo Ari Schwartz, director gerente de servicios de ciberseguridad de la firma de abogados Venable. «Para los proveedores con grandes carteras de productos y múltiples versiones de software, el proceso aún representaba un esfuerzo administrativo sustancial».
Schwartz dijo que algunas empresas le dijeron que las agencias les pedían que dieran fe de la seguridad de productos que “ya habían pasado su vida útil”. Debido a los fallos de seguridad inherentes a esos productos obsoletos, afirmó Schwartz, las empresas no pudieron satisfacer las demandas de las agencias.
La industria tecnológica, que repetidamente criticado Al considerar que el formulario de certificación estaba mal diseñado, pidió a la administración Biden que aclarara los elementos que consideraba vagos o problemáticos.
Gordon Bitko, vicepresidente ejecutivo del sector público del Consejo de la Industria de Tecnología de la Información, elogió la “decisión de la administración Trump de alejarse de los mandatos prescriptivos en favor de un enfoque de seguridad basado en el riesgo”.
Henry Young, director senior de políticas de Business Software Alliance, dijo que el formulario de certificación «resultó difícil de implementar de manera consistente y desvió recursos de la gestión del riesgo real de ciberseguridad».
Leiserson rechazó esas afirmaciones. «El formulario en cuestión tarda aproximadamente tres horas en completarse», dijo.
El miedo de los proveedores a la responsabilidad por tergiversar la seguridad de sus productos “era la verdadera carga”, argumentó Lewis de CEPA.
Cada agencia por sí misma
Dado que la Casa Blanca deja en manos de las agencias individuales la decisión de cómo responsabilizar a sus proveedores de software, el resultado podría ser un panorama fragmentado de supervisión inconsistentemente estricta.
Algunas agencias pueden seguir usando el formulario de CISA, mientras que otras pueden desarrollar sus propios procesos que solicitan más o menos información a las empresas de software. Eso podría complicar aún más las cosas para los proveedores que el mandato cuya desaparición celebraron.
«Si todas las agencias van en diferentes direcciones y adoptan enfoques muy diferentes», dijo Schwartz, «eso podría terminar aumentando la carga para las empresas sin necesariamente mejorar la seguridad».
Bitko, del ITI, instó a la Casa Blanca a «protegerse contra requisitos fragmentados y específicos de cada agencia» que podrían encarecer el cumplimiento.
El memorando de la Casa Blanca ofrecía varias sugerencias a las agencias, incluida una referencia al Instituto Nacional de Estándares y Tecnología. Marco de desarrollo de software seguro (SSDF) o solicitando software o hardware Listas de materiales de los proveedores. En LinkedIn, Friedman llamó al SSDF «una herramienta sólida», pero dijo que «no estaba diseñada para el cumplimiento o la medición».
Schwartz dijo que sería mejor si las agencias convergieran en expectativas de seguridad “ampliamente similares” que implementaran a través del lenguaje contractual. Young de BSA dijo que los enfoques más efectivos basarían los requisitos en los niveles de riesgo y utilizarían estándares internacionales.
Una iniciativa en curso de la Casa Blanca podría ayudar a evitar un creciente mosaico de requisitos. La administración Trump está en el proceso de revisando el camino Las agencias certifican la tecnología para su uso, lo que podría conducir a nuevos estándares gubernamentales para la seguridad del software.
En alerta por fallos de seguridad en cascada
La mayor parte del software que compra el gobierno es la misma tecnología comercial disponible para las empresas privadas. Si la atención de los proveedores a la seguridad disminuye sin una supervisión estricta por parte de sus clientes gubernamentales, las consecuencias podrían poner en peligro a todos sus clientes.
Muchos expertos en ciberseguridad han argumentado que la deferencia de larga data del gobierno hacia Microsoft, uno de sus proveedores más importantes, animó La erosión de la cultura de seguridad de la empresa. que permitió una serie de importantes ataques cibernéticos a productos de Microsoft.
“Mejoras en la seguridad del software en respuesta a las señales del mercado del gobierno [help] «Todos los usuarios de ese software, no sólo el gobierno», dijo Leiserson. «Por el contrario, la eliminación de tales incentivos dejará al ecosistema más vulnerable».
Por ahora, dijo Schwartz, «es demasiado pronto para decir si esto cambiará significativamente la seguridad del software». [that] utilizan las agencias”. Mucho dependerá, dijo, de cómo las agencias (especialmente las más grandes, que tienen los contratos de software más importantes) remodelen su supervisión de proveedores en respuesta a las nuevas directrices de la Casa Blanca.
Fuente