El presidente Biden ordena el etiquetado de seguridad del software y la comunicación al consumidor de la lista de ingredientes que lo componen. El objetivo es certificar el origen, la autenticidad y la seguridad del producto. La orden ejecutiva "Mejorando la Ciberseguridad de la Nación" fue emitida el pasado mes de mayo y en las últimas semanas han comenzado a llegar las primeras respuestas técnico-organizativas de los organismos federales y del mundo académico e industrial.
Finalmente, parece.
Demasiados agujeros de seguridad, demasiados actores malévolos que lo han pasado bien a lo largo de los años. De hecho, a partir de ahora, será necesario establecer procedimientos de rastreo probados para demostrar que el software se ha creado en un entorno seguro, de acuerdo con buenas prácticas de desarrollo y pruebas; y se tendrá que contabilizar la procedencia de los códigos fuente, confirmándolos con artefactos estandarizados. Y finalmente, los usuarios ya no tendrán que reconocer las condiciones de uso, sino agregar una etiqueta de seguridad y una SBOM (Software Bill Of Materials): la lista de materiales que enumera los componentes y su origen.
En definitiva, ir a comprar software acabará siendo muy parecido a cuando tenemos que comprar la nueva lavadora, cuidado con revisar el etiquetado energético para comprobar el consumo eléctrico o la contaminación acústica; o similar a cuando deambulamos por los pasillos de los supermercados, decididos a revisar la mesa de los ingredientes de las galletas en busca de las más saludables, genuinas, de kilómetro cero, con menos calorías y sin alérgenos. O de nuevo cuando en el restaurante buscamos la botella de vino de calidad, solicitando la DOC en lugar de la marcada con uno. Denominación de Origen Controlada y Garantizada.
Pero vayamos en orden e intentemos entender lo que está sucediendo. Y sobre todo si será realmente suficiente.
En los últimos meses, el gobierno estadounidense ha lanzado dos iniciativas estructurales: la primera, dirigida a asegurar la cadena de suministro de software; el segundo, el destinado a llevar el entorno tecnológico de los sistemas de control industrial a un nivel de ciberseguridad al menos igual al que se ha logrado ahora en los sistemas informáticos.
La cadena de suministro de software está ahora muy desarrollada y ampliamente distribuida, tanto que ahora se puede decir que “cualquiera que haga software”. Y en el concepto de "cualquiera" hay ese -relacionado- de "indeterminado", que hoy constituye la principal vulnerabilidad en la base de la mayoría de incidentes informáticos: no solo no sabemos quién es exactamente la autoría del software que utilizamos, al que se puede atribuir la responsabilidad civil, penal y administrativa por los daños causados o por la exposición real a los peligros; pero ni siquiera sabemos si este alguien, aun cuando ha actuado de buena fe, se ha dotado de los recursos, estructuras y técnicas operativas para desarrollar y probar el producto de forma segura, así como controles adecuados para evitar su manipulación.
Y todo ello, si en general es válido para todo software, asume un valor decisivo para la categoría de los denominados software críticos, es decir, los que realizan funciones de garantía y seguridad, como las necesarias para gestionar y verificar los privilegios de los administradores de sistemas. o que permitan el acceso directo a la máquina o los recursos de la red.
La estrategia que se está poniendo en marcha tratará por tanto de garantizar, con procesos repetibles y verificables, estas tres dimensiones: autoría, seguridad y autenticidad. Veamos cómo.
Se comenzará a esperar que el software se cree en entornos de desarrollo compartimentados con respecto a aquellos en los que posteriormente se probarán, así como a aquellos en los que se utilizarán, cuando estén en pleno funcionamiento; y la información al consumidor debe dar evidencia de los procedimientos de seguridad utilizados para asegurar esta segregación ambiental. Luego, será necesario emplear automatismos que permitan tanto la verificación del origen e integridad de los códigos fuente utilizados para desarrollar el software, como una búsqueda constante de vulnerabilidades y remedios relacionados. Y esto también debe reconocerse en la información a los usuarios, sin dejar de indicar una breve descripción de los riesgos evaluados y mitigados.
También será necesario llevar un inventario oportuno de los datos relacionados con el origen de los códigos fuente o componentes de software no desarrollados internamente, así como los controles implementados y auditorías realizadas sobre los componentes de software, servicios y herramientas de desarrollo, tanto internas. y terceros. En la medida de lo posible, será obligatorio certificar la integridad y procedencia del software de código abierto utilizado en cualquier parte de un producto. Finalmente, será necesario demostrar que existe un sistema de control interno que es capaz de revelar las vulnerabilidades detectadas en los productos de software a tiempo.
Al completar o completar las acciones indicadas anteriormente, será necesario crear etiquetas de seguridad y listas de materiales para los consumidores.
Es de esperar que todo esto mejore significativamente el seguimiento del origen, la integridad y la seguridad del software, pero también conducirá a un aumento significativo en los costos de implementación y por lo tanto en los precios al público.
Pero el hombre común, con la brecha digital que caracteriza a la cultura de masas actual, acostumbrado como está a descargar software "craqueado" sin costo alguno de la web, ¿estará dispuesto a gastar cantidades significativamente diferentes para comprar este tipo de software seguro? Necesitamos actuar en paralelo para que, de la mano de la seguridad de la cadena de suministro de software, actuemos para crear una nueva conciencia de la higiene digital entre aquellos que sentirán la necesidad de esos software.
Orazio Danilo RussoCarlo Mauceli
Para obtener más información:
https://www.federalregister.gov/documents/2021/05/17/2021-10460/improvin...
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/...
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity...
