La cybersecurity resta - o dovrebbe diventare - un tema sempre chiave per aziende, privati cittadini e Governi non solo perché i "cattivi" sono sempre più bravi a portare i loro attacchi. C'è un problema ancora prima: in un mondo in cui tutto è sempre più basato su servizi digitali, questi a loro volta si basano su prodotti e soluzioni software la cui "blindatura" lascia spesso a desiderare. Il concetto del "secure by design" - inserire da zero la cybersecurity nella progettazione di prodotti e servizi - lo si conosce da tempo ma è più teoria che pratica. Perché implementare bene la sicurezza costa.

In qualche modo però il modello deve diffondersi. E le agenzie governative legate alla cybersecurity provano a spingerlo con iniziative di vari tipi. Metaforicamente, un po' con le buone e un po' con le meno buone. Tra le "buone" si inserisce ora il "Secure by Design pledge" della CISA, la Cybersecurity and Infrastructure Security Agency del Governo USA.

In estrema sintesi, la CISA chiede alle aziende che sviluppano software di un impegno (pledge, appunto) formale a creare prodotti che siano di per sé progressivamente più sicuri. Con un evidente e inevitabile punto debole dell'iniziativa: è solo volontaria e non presenta veri obblighi. Tra un anno si farà il punto della situazione e chi sottoscrive il pledge dovrebbe dimostrare di aver fatto passi avanti in quanto all'implementazione di specifiche misure di cybersecurity nei propri prodotti e servizi.

Nello specifico, chi aderisce al pledge ha un anno di tempo per concretizzare miglioramenti dimostrabili e quantificabili in sette diversi aspetti della sicurezza.

Cinque sono abbastanza ovvi e poco discutibili: incrementare l'uso della Multi Factor Authentication nei propri prodotti, ridurre l'utilizzo di password di default nei propri prodotti, ridurre in modo significativo la prevalenza di una o più classi di vulnerabilità nei propri prodotti, aumentare l'installazione delle patch di sicurezza da parte dei clienti (si suppone facilitando al massimo la disponibilità e l'applicazione di tali patch), aumentare la capacità dei clienti di raccogliere prove di intrusioni che abbiano "bucato" i propri prodotti.

Alla ricerca di trasparenza

Ci sono però altri due obiettivi del pledge che non sono altrettanto scontati e che intervengono su "brutte abitudini" di alcune software house che non amano vedere sbandierate le vulnerabilità dei loro prodotti. Chi aderisce al pledge deve in primo luogo pubblicare una Vulnerability Disclosure Policy che autorizzi il pubblico (tra cui anche gli esperti di sicurezza, ovviamente) a testare i propri prodotti e che definisca un "canale chiaro" per comunicare eventuali vulnerabilità riscontrate.

Soprattutto, la VDP deve formalizzare che chiunque rilevi una qualche vulerabilità e la comunichi pubblicamente in buona fede "in linea con le best pratice e gli standard internazionali di vulnerability disclosure coordinata" non sarà oggetto di azioni legali. Chiaramente il pledge vuole evitare i (troppo frequenti) casi in cui ad una segnalazione di vulnerabilità si risponde con una minaccia di causa legale per non rendere pubblica una "falla" del proprio software.

Altro obiettivo importante del pledge, e tutt'altro che banale dal punto di vista delle software house, è dimostrare una maggiore chiarezza nella classificazione delle vulnerabilità rese note: una vulnerabilità "ufficializzata" deve avere un record CVE completo in tutti i suoi dati. Inoltre, qualsiasi CVE essere comunicata tempestivamente, in particolare se ha impatti classificati come critici o elevati che richiedano azioni immediate da parte di clienti o che siano già sfruttate attivamente.

Tutto questo vale sia per le vulnerabilità scoperte direttamente dalla software house coinvolta, sia per quelle segnalate da terze parti. Un dettaglio che in realtà non è un dettaglio: troppo spesso le vulnerabilità critiche rilevate da terze parti restano in un pericoloso limbo prima di essere riconosciute e formalizzate.

Per ciascuno di questi obiettivi ci sono "criteri fondamentali che i produttori si impegnano a rispettare", spiega la CISA. Il pledge non indica ovviamente quali strade seguire per raggiungere i vari obiettivi, indica però che le aziende partecipanti devono "dimostrare progressi misurabili" e che "i progressi devono essere dimostrati pubblicamente".

Carota e bastone

Quanto può essere utile il "Secure by Design pledge" della CISA? Difficile dirlo. Di sicuro va di moda aderirvi: lo hanno fatto subito 68 aziende tra cui - limitandosi ai nomi noti dell'IT e della sicurezza - Akamai, AWS, Cisco, Cloudflare, CrowdStrike, ESET, Fortinet, Google, HPE, HP, IBM, Ivanti, Lenovo, Microsoft, N-able, NetApp, Netgear, Palo Alto Networks, Proofpoint, Qualys, SentinelOne, Sophos, Trend Micro, Zscaler.

Non ci sono vere sanzioni per chi non osserva il pledge e questo ovviamente rischia di renderlo inutile, come anche il fatto che è tutto sommato semplice dimostrare di aver fatto qualcosa senza in realtà aver cambiato concretamente poi molto. D'altronde un pledge non poteva essere poi tanto diverso da così: vincoli e sanzioni vanno definiti con leggi vere e proprie, che la CISA ovviamente non può mettere in campo da sola.

Il pledge quindi è una sorta di metaforico "poliziotto buono" che dà alle software house una opportunità per migliorarsi e fare bella figura, con il Governo USA e con il pubblico dei potenziali utenti. L'immancabile "poliziotto cattivo" fa più fatica a vedersi ma c'è: negli USA - ma la cosa interessa anche noi, perché ha impatto sulle software house globali - si stanno man mano aggiornando le normative sulla sicurezza anche cyber, dato che quelle definite anni o decenni fa sono inapplicabili negli attuali scenari. E anche in Europa abbiamo iniziato a muoverci su questa strada, puntando però forse più - o troppo - sugli utenti e meno sui fornitori tecnologici.

Infine, gli USA sono la patria delle cause legali e questo inizia a toccare anche la cybersecurity. Le falle di SolarWinds sono state un caso emblematico di cattiva supply chain security ma potrebbero diventare anche "il" caso emblematico di come una cattiva cybersecurity può portarti in tribunale: la SEC vuole fare proprio questo con SolarWinds e con il suo CISO Timothy Brown, accusati di frode, omesso controllo e comunicazioni fuorvianti agli azionisti.

Secondo la SEC, "Per anni SolarWinds e Brown hanno ignorato i ripetuti segnali di allarme sui rischi informatici di SolarWinds, che erano ben noti a tutta l'azienda... Piuttosto che affrontare queste vulnerabilità, SolarWinds e Brown si sono impegnati in una campagna per dipingere un quadro falso dei controlli informatici dell'azienda, privando così gli investitori di informazioni accurate". Può magari spiacere che si metta in campo l'artiglieria pesante solo quando la mancata cybersecurity tocca in qualche modo le tasche di chi investe in Borsa. Ma era il caso. E almeno è un deterrente.