▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Il piano Secure by Design della CISA: cybersecurity e buona volontà

Il "Secure by Design pledge" della CISA raccoglie l'impegno formale delle software house a migliorarsi, ma senza vere conseguenze per chi fa poco

Tecnologie/Scenari

La cybersecurity resta - o dovrebbe diventare - un tema sempre chiave per aziende, privati cittadini e Governi non solo perché i "cattivi" sono sempre più bravi a portare i loro attacchi. C'è un problema ancora prima: in un mondo in cui tutto è sempre più basato su servizi digitali, questi a loro volta si basano su prodotti e soluzioni software la cui "blindatura" lascia spesso a desiderare. Il concetto del "secure by design" - inserire da zero la cybersecurity nella progettazione di prodotti e servizi - lo si conosce da tempo ma è più teoria che pratica. Perché implementare bene la sicurezza costa.

In qualche modo però il modello deve diffondersi. E le agenzie governative legate alla cybersecurity provano a spingerlo con iniziative di vari tipi. Metaforicamente, un po' con le buone e un po' con le meno buone. Tra le "buone" si inserisce ora il "Secure by Design pledge" della CISA, la Cybersecurity and Infrastructure Security Agency del Governo USA.

In estrema sintesi, la CISA chiede alle aziende che sviluppano software di un impegno (pledge, appunto) formale a creare prodotti che siano di per sé progressivamente più sicuri. Con un evidente e inevitabile punto debole dell'iniziativa: è solo volontaria e non presenta veri obblighi. Tra un anno si farà il punto della situazione e chi sottoscrive il pledge dovrebbe dimostrare di aver fatto passi avanti in quanto all'implementazione di specifiche misure di cybersecurity nei propri prodotti e servizi.

Nello specifico, chi aderisce al pledge ha un anno di tempo per concretizzare miglioramenti dimostrabili e quantificabili in sette diversi aspetti della sicurezza.

Cinque sono abbastanza ovvi e poco discutibili: incrementare l'uso della Multi Factor Authentication nei propri prodotti, ridurre l'utilizzo di password di default nei propri prodotti, ridurre in modo significativo la prevalenza di una o più classi di vulnerabilità nei propri prodotti, aumentare l'installazione delle patch di sicurezza da parte dei clienti (si suppone facilitando al massimo la disponibilità e l'applicazione di tali patch), aumentare la capacità dei clienti di raccogliere prove di intrusioni che abbiano "bucato" i propri prodotti.

Alla ricerca di trasparenza

Ci sono però altri due obiettivi del pledge che non sono altrettanto scontati e che intervengono su "brutte abitudini" di alcune software house che non amano vedere sbandierate le vulnerabilità dei loro prodotti. Chi aderisce al pledge deve in primo luogo pubblicare una Vulnerability Disclosure Policy che autorizzi il pubblico (tra cui anche gli esperti di sicurezza, ovviamente) a testare i propri prodotti e che definisca un "canale chiaro" per comunicare eventuali vulnerabilità riscontrate.

Soprattutto, la VDP deve formalizzare che chiunque rilevi una qualche vulerabilità e la comunichi pubblicamente in buona fede "in linea con le best pratice e gli standard internazionali di vulnerability disclosure coordinata" non sarà oggetto di azioni legali. Chiaramente il pledge vuole evitare i (troppo frequenti) casi in cui ad una segnalazione di vulnerabilità si risponde con una minaccia di causa legale per non rendere pubblica una "falla" del proprio software.

Altro obiettivo importante del pledge, e tutt'altro che banale dal punto di vista delle software house, è dimostrare una maggiore chiarezza nella classificazione delle vulnerabilità rese note: una vulnerabilità "ufficializzata" deve avere un record CVE completo in tutti i suoi dati. Inoltre, qualsiasi CVE essere comunicata tempestivamente, in particolare se ha impatti classificati come critici o elevati che richiedano azioni immediate da parte di clienti o che siano già sfruttate attivamente.

Tutto questo vale sia per le vulnerabilità scoperte direttamente dalla software house coinvolta, sia per quelle segnalate da terze parti. Un dettaglio che in realtà non è un dettaglio: troppo spesso le vulnerabilità critiche rilevate da terze parti restano in un pericoloso limbo prima di essere riconosciute e formalizzate.

Per ciascuno di questi obiettivi ci sono "criteri fondamentali che i produttori si impegnano a rispettare", spiega la CISA. Il pledge non indica ovviamente quali strade seguire per raggiungere i vari obiettivi, indica però che le aziende partecipanti devono "dimostrare progressi misurabili" e che "i progressi devono essere dimostrati pubblicamente".

Carota e bastone

Quanto può essere utile il "Secure by Design pledge" della CISA? Difficile dirlo. Di sicuro va di moda aderirvi: lo hanno fatto subito 68 aziende tra cui - limitandosi ai nomi noti dell'IT e della sicurezza - Akamai, AWS, Cisco, Cloudflare, CrowdStrike, ESET, Fortinet, Google, HPE, HP, IBM, Ivanti, Lenovo, Microsoft, N-able, NetApp, Netgear, Palo Alto Networks, Proofpoint, Qualys, SentinelOne, Sophos, Trend Micro, Zscaler.

Non ci sono vere sanzioni per chi non osserva il pledge e questo ovviamente rischia di renderlo inutile, come anche il fatto che è tutto sommato semplice dimostrare di aver fatto qualcosa senza in realtà aver cambiato concretamente poi molto. D'altronde un pledge non poteva essere poi tanto diverso da così: vincoli e sanzioni vanno definiti con leggi vere e proprie, che la CISA ovviamente non può mettere in campo da sola.

Il pledge quindi è una sorta di metaforico "poliziotto buono" che dà alle software house una opportunità per migliorarsi e fare bella figura, con il Governo USA e con il pubblico dei potenziali utenti. L'immancabile "poliziotto cattivo" fa più fatica a vedersi ma c'è: negli USA - ma la cosa interessa anche noi, perché ha impatto sulle software house globali - si stanno man mano aggiornando le normative sulla sicurezza anche cyber, dato che quelle definite anni o decenni fa sono inapplicabili negli attuali scenari. E anche in Europa abbiamo iniziato a muoverci su questa strada, puntando però forse più - o troppo - sugli utenti e meno sui fornitori tecnologici.

Infine, gli USA sono la patria delle cause legali e questo inizia a toccare anche la cybersecurity. Le falle di SolarWinds sono state un caso emblematico di cattiva supply chain security ma potrebbero diventare anche "il" caso emblematico di come una cattiva cybersecurity può portarti in tribunale: la SEC vuole fare proprio questo con SolarWinds e con il suo CISO Timothy Brown, accusati di frode, omesso controllo e comunicazioni fuorvianti agli azionisti.

Secondo la SEC, "Per anni SolarWinds e Brown hanno ignorato i ripetuti segnali di allarme sui rischi informatici di SolarWinds, che erano ben noti a tutta l'azienda... Piuttosto che affrontare queste vulnerabilità, SolarWinds e Brown si sono impegnati in una campagna per dipingere un quadro falso dei controlli informatici dell'azienda, privando così gli investitori di informazioni accurate". Può magari spiacere che si metta in campo l'artiglieria pesante solo quando la mancata cybersecurity tocca in qualche modo le tasche di chi investe in Borsa. Ma era il caso. E almeno è un deterrente.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1