SolarWinds e incentivos de mercado
A principios de 2021, Seguridad y privacidad IEEE pidió a varios miembros de la junta breves perspectivas sobre el incidente de SolarWinds mientras aún period noticia de última hora. Esta fue mi respuesta.
La penetración de las redes gubernamentales y corporativas en todo el mundo es el resultado de defensas cibernéticas inadecuadas en todos los ámbitos. Las lecciones son muchas, pero quiero centrarme en una importante que hemos aprendido: el application que administra nuestras redes críticas no es seguro, y eso se debe a que el mercado no recompensa esa seguridad.
SolarWinds es un ejemplo perfecto. La empresa fue el vector de infección inicial durante gran parte de la operación. Su posición de confianza dentro de tantas redes críticas lo convirtió en un objetivo perfecto para un ataque a la cadena de suministro, y sus prácticas de seguridad de mala calidad lo convirtieron en un objetivo fácil.
¿Por qué SolarWinds tenía tan mala seguridad? La respuesta es porque period más rentable. La empresa es propiedad de los socios de Thoma Bravo, una firma de cash privado conocida por reducir radicalmente los costos en nombre de las ganancias a corto plazo. Con el director ejecutivo Kevin Thompson, la empresa gastó menos en seguridad incluso cuando subcontrató el desarrollo de software. El New York Periods informa que el asesor de seguridad cibernética de la compañía renunció después de que «se ignoraron sus recomendaciones básicas». En un sentido muy genuine, SolarWinds se benefició porque transfirió en secreto una gran cantidad de riesgos a sus clientes: el gobierno de EE. UU., las empresas de TI y otros.
Este problema no es nuevo y, aunque se ve agravado por el modelo de financiación de cash privado, no es exclusivo de él. En typical, el mercado no premia la seguridad y la protección, especialmente cuando los efectos de ignorar esas cosas son difusos y a largo plazo. El mercado recompensa las ganancias a corto plazo a expensas de la seguridad y la protección. (Notice y vea si SolarWinds sufre algún efecto a largo plazo por este ataque, o si la apuesta de Thoma Bravo de que podría beneficiarse vendiendo un producto inseguro fue buena).
La solución aquí es doble. El primero es mejorar la adquisición de program del gobierno. El software program ahora es essential para la seguridad nacional. Cualquier sistema de adquisición de ese computer software necesita evaluar la seguridad del computer software y las prácticas de seguridad de la empresa, en detalle, para garantizar que sean suficientes para satisfacer las necesidades de seguridad de la purple en la que se está instalando. Si estas evaluaciones son hecho público, junto con la lista de empresas que los cumplen, todos los compradores de la crimson pueden beneficiarse de ellos. Es una victoria para todos.
Pero eso no es suficiente Necesitamos una segunda parte. La única forma de obligar a las empresas a proporcionar características de seguridad y protección a los clientes es a través de la regulación. Esto es cierto ya sea que queramos cinturones de seguridad en nuestros automóviles, seguridad alimentaria básica en nuestros restaurantes, pijamas que no se incendien o enrutadores domésticos que no sean vulnerables a los ataques cibernéticos. El gobierno debe establecer estándares mínimos de seguridad para el software que se utiliza en aplicaciones de purple críticas, al igual que establece estándares de software para aviónica.
Sin estas dos medidas, es demasiado fácil para las empresas actuar como SolarWinds: ahorrar dinero escatimando en seguridad y esperar lo mejor a largo plazo. Eso es lo racional que deben hacer las empresas en un mercado no regulado, y la única forma de cambiar eso es cambiar los incentivos económicos.
Este ensayo apareció originalmente en la edición de marzo/abril de 2021 de Seguridad y privacidad IEEE.” Olvidé publicarlo aquí.
Publicado el 8 de febrero de 2023 a las 6:46 a. m. • 1 comentario
