Charla tensa sobre la cadena de suministro Riesgos de rendimiento Pocas respuestas


Los panelistas de RSA bloquearon los cuernos sobre si la prohibición que impide que las agencias del gobierno de EE. UU. Hagan negocios con Huawei está señalando injustamente al gigante chino de las telecomunicaciones.

(Imagen: rost9 / Adobe Stock)

(Imagen: rost9/ Adobe Inventory)

CONFERENCIA RSA 2020 – San Francisco: una discusión tensa sobre la gestión de riesgos de la cadena de suministro en la Conferencia RSA de este año destacó las preguntas en curso, pero ofreció pocas conclusiones sobre cómo la nación puede garantizar la seguridad de los productos tecnológicos fabricados en el extranjero utilizados por el gobierno de EE. UU. infraestructura.

La sesión del miércoles, titulada «Cómo reducir el riesgo de la cadena de suministro: lecciones de los esfuerzos para bloquear a Huawei», vio a los panelistas discutir a veces sobre la realidad de evitar que las fallas de seguridad se introduzcan en la tecnología durante el proceso de fabricación. La preocupación se centra principalmente en la capacidad de otras naciones que producen tecnología para insertar puertas traseras que luego se pueden utilizar para lanzar un ataque o recopilar información.

En el centro de la cuestión estaba la cuestión de si Huawei, con sede en China, está siendo injustamente señalada después de que la administración Trump en agosto prohibiera a las agencias gubernamentales estadounidenses hacer negocios con el fabricante de equipos de telecomunicaciones. La regla ahora prohíbe las compras federales de equipos y servicios de telecomunicaciones y videovigilancia de cinco compañías chinas, incluida Huawei. La legalidad de esa prohibición fue confirmada por un juez federal de distrito a principios de este mes.

Katie Arrington, oficial de seguridad de la información cibernética de adquisiciones en el Departamento de Defensa, que supervisa la gestión de riesgos de la cadena de suministro de la agencia, señaló que la medida se realizó por una buena razón.

«Se hizo la recomendación de sacar a Huawei por una razón muy específica. La ley es la ley», dijo. «Nuestro trabajo en el Departamento de Defensa es garantizar su seguridad. Estamos haciendo todo lo posible para reducir el riesgo. No quiero estar en un mundo donde me despierte una mañana y los bancos no funcionen, y los semáforos no trabaje y se descomponga. Quiero asegurarme de que el command permanezca aquí, donde pueda tocarlo «.

Pero Andy Purdy, CSO de Huawei Technologies Usa, argumentó que la prohibición era injusta dado que muchas otras empresas con sede en otros países presentan riesgos similares.

«¿Es cierto o no es cierto que al menos cinco naciones en el mundo tienen el poder de implantar funcionalidades ocultas en components y application y lanzar un ataque?» él dijo.

«Eso es ridículo», respondió Arrington. «La conclusión es que somos una democracia. Somos diferentes. Cuando tienes un producto de un país que puede hacerse cargo, manejar y manipular las cosas más críticas de nuestro país, ¿por qué no quieres estar seguro de que ese país tiene todos los esfuerzos filosóficos correctos, que no lo hacen «.

Kathryn Waldron, miembro del Instituto R Street, argumentó que la cadena de suministro es específica del contexto y cuestionó si echar a Huawei period un buen modelo para la seguridad nacional y de la cadena de suministro en el futuro

«Creo que debemos tener un enfoque de estructura mucho más holístico que considere el riesgo de un momento, pero (también) analiza qué tipo de políticas implementamos que tendrán un crecimiento positivo del mercado y proporcionarán competidores del mercado», dijo.

El panel también incluyó a Bruce Schneier, tecnólogo de seguridad, investigador y profesor de la Harvard Kennedy Faculty. Schneier desafió a Arrington en varios puntos en torno a la discusión de cómo la cadena de suministro está vinculada a la seguridad nacional, argumentando que la combinación de ambos crea confusión.

«La vinculación de la seguridad nacional con la política comercial genera intercambios de seguridad imposibles. O se trata de un problema de seguridad nacional, en cuyo caso hay cosas que hacemos y no hacemos, o este es un problema comercial, en cuyo caso negociamos una variedad de cosas «, dijo Schneier. «No puede ser ambas cosas. Simplemente no funciona».

Schneier también observó cambios en las actitudes entre los funcionarios del gobierno con respecto a la seguridad del dispositivo: en un momento, las agencias de espionaje de los EE. UU. Estaban utilizando las vulnerabilidades para su ventaja para recopilar información. Pero a medida que otras naciones se ven atrapadas en su propia capacidad de espionaje, ahora Estados Unidos está más preocupado por cómo podrían explotar las vulnerabilidades. En última instancia, dijo, la seguridad de la cadena de suministro seguirá siendo lo que llamó un «problema insuperablemente difícil».

«¿Podemos construir una pink confiable a partir de partes no confiables?» Schneier dijo. «No sé si la respuesta es &#39sí&#39 todavía. Vamos a vivir en un mundo de partes no confiables».

Contenido relacionado:

Joan Goodchild es una veterana periodista, editora y escritora que ha estado cubriendo la seguridad durante más de una década. Ha escrito para varias publicaciones y anteriormente se desempeñó como editora en jefe de CSO On the web. Ver biografía completa

Más strategies





Enlace a la noticia initial