Lectura oscura | Seguridad | Proteja el negocio



La falta de transparencia y responsabilidad son, sin duda, las amenazas de seguridad específicas de la cadena de suministro más importantes para los Estados Unidos. Estas amenazas conducen a usuarios finales mal informados y a una distribución desigual del riesgo en las cadenas de valor de la tecnología world.

La opacidad y complejidad de la tecnología y sus cadenas de suministro contribuyen a un entorno en el que los actores de la cadena de valor están incentivados (y permitidos) para externalizar el riesgo (y el costo) de hacer negocios.

El propietario remaining del riesgo, el consumidor ultimate, rara vez tiene el command (y a menudo desconoce) las decisiones que se toman en la cadena de suministro que afectan su postura de riesgo. Después de todo, el consumidor rara vez sabe qué hay en la tecnología de la que depende, por lo que tiene pocas esperanzas de administrar adecuadamente los riesgos de usarla.

La frenética lucha que ocurrió después del reciente incidente cibernético de SolarWinds, cuando las empresas y los gobiernos se apresuraron a comprender el alcance del incidente y dónde se instaló el computer software comprometido, es un ejemplo del poco conocimiento que tenemos de lo que implica nuestra tecnología.

Y este no es un fenómeno nuevo.

Cuando el el gobierno federal prohibió Kaspersky application en 2017, las agencias y empresas se vieron obligadas a pasar miles de horas revisando sus pilas de tecnología en busca del código ofensivo porque no tenían visibilidad de lo que había en el program que usaban.

La complejidad de la tecnología solo aumentará. Como tal, es important que los usuarios finales puedan obtener información más completa sobre lo que hay (o no) en la tecnología que consumen, y los proveedores de tecnología son más responsables del contenido de la tecnología que entregan a los consumidores.

Impactos en la infraestructura crítica
Esto me lleva a una preocupación más generalizada que se destacó una vez más con el reciente ataque de ransomware Colonial Pipeline: cómo las amenazas de la cadena de suministro afectan la infraestructura crítica.

Muchas cosas han cambiado desde 2013, cuando el Secretario de Defensa y el Administrador de Servicios Generales publicaron un documento conjunto DoD-GSA informe sobre la mejora de la ciberseguridad en EE. UU.. Uno de los cambios más significativos es que ha aumentado la sofisticación, la frecuencia y el volumen de los ciberataques.

Como dice el informe:

«El gobierno federal y sus contratistas, subcontratistas y proveedores en todos los niveles de la cadena de suministro están bajo ataque constante, atacados por adversarios cada vez más sofisticados y bien financiados que buscan robar, comprometer, alterar o destruir información confidencial».

Nadie puede negar que la infraestructura crítica está en esa lista de objetivos. A medida que los propietarios y operadores de infraestructura crítica confían cada vez más en la tecnología operativa en red y el software program que la hace funcionar, aumentan su superficie de ataque y el riesgo de un incidente como Colonial Pipeline.

El informe DoD-GSA también señala que:

«El abastecimiento en el extranjero ha demostrado su mérito como un medio para reducir costos y, como resultado, la mayor parte de la tecnología se produce en una cadena de suministro international. El movimiento de producción fuera de los EE. UU. También ha aumentado las preocupaciones del gobierno sobre la propiedad, el manage, la manipulación o la influencia extranjeros sobre la tecnología utilizada o conectada a la infraestructura crítica «.

Las amenazas a la cadena de suministro de tecnología de «adversarios (gobiernos extranjeros, ejércitos, servicios de inteligencia y organizaciones terroristas) y aquellos que buscan promover su propia causa (piratas informáticos y elementos criminales)» han introducido un nuevo riesgo significativo para los propietarios y operadores de infraestructura crítica en en particular, continúa el informe.

Impulsar la transparencia y la rendición de cuentas
En la medida en que aumentamos la transparencia y la responsabilidad en las cadenas de suministro de tecnología, permitimos a los consumidores mejor informados que tomarán mejores decisiones y, como resultado, estarán en mejores condiciones de administrar sus riesgos.

La reciente administración de Biden Orden ejecutiva sobre la mejora de la ciberseguridad de la nación De ninguna manera es una panacea, pero tiene el potencial de impulsar una mayor transparencia y responsabilidad en el computer software a través de requisitos para las pruebas y para proporcionar una lista de materiales de software package (SBOM).

Para lograr los objetivos de la orden ejecutiva, los SBOM deben proporcionar suficientes detalles para transmitir la procedencia, el pedigrí y el vínculo que describa cómo se conecta el software a lo largo de la cadena de suministro, junto con las certificaciones sobre los pasos en la cadena de producción.

Para tener éxito, la implementación de la orden ejecutiva por parte del gobierno debe abordar la complejidad del desarrollo de software program distribuido moderno y proporcionar transparencia tanto en la procedencia del código como en las pruebas asociadas realizadas en cada etapa del ciclo de vida. Cumplir con ese resultado requiere una mayor transparencia en los procesos de desarrollo de program empleados por todas las partes interesadas.



Enlace a la noticia first