L'iniziativa security-by-design di CISA è a rischio: ecco un percorso da seguire

Trey Herr Collaboratore Trey Herr è il direttore della Cyber Statecraft Initiative dell'Atlantic Council.
Maia Hamin Collaboratore Maia Hamin è direttore associato della Cyber Statecraft Initiative.
Will Loomis Collaboratore Condividi su Twitter Will Loomis è un direttore associato della Cyber Statecraft Initiative.
Stewart Scott Collaboratore Stewart Scott è un direttore associato della Cyber Statecraft Initiative.
La strategia nazionale per la sicurezza informatica del 2023 dell'amministrazione Biden ha identificato carenze strutturali nello stato della sicurezza informatica, richiamando l'incapacità delle forze di mercato di distribuire adeguatamente la responsabilità per la sicurezza dei dati e dei sistemi digitali.
Soprattutto, la strategia cerca di "ribilanciare la responsabilità [per la sicurezza] a coloro che sono meglio posizionati".
Poco dopo il lancio della strategia nel marzo di quest'anno, la Cybersecurity and Infrastructure Security Agency (CISA) ha dato il via a uno sforzo per "spostare l'equilibrio del rischio di sicurezza informatica" spingendo le aziende ad adottare pratiche di sicurezza per progettazione (SbD), migliorando la sicurezza e protezione dei loro prodotti nella fase di progettazione e durante tutto il loro ciclo di vita.
L'annuncio di questi sforzi da parte del direttore della CISA, Jen Easterly, sembra porre la CISA in prima linea in questo riequilibrio, affrontando gli incentivi dei fornitori di tecnologia a sottoinvestire nella sicurezza attraverso i cambiamenti nel modo in cui queste aziende progettano e implementano i prodotti che vendono.
Essendo la prima proposta sostanziale dell'amministrazione del presidente Biden per effettuare questo riequilibrio dal lancio della strategia, il successo o il fallimento dell'iniziativa SbD potrebbe essere un indicatore di una delle due idee fondamentali della strategia.
Il successo con SbD è a rischio, tuttavia, sia per le sfide politiche dell'implementazione delle pratiche SbD sia per la minaccia di aspettative irrealistiche.
Questo pezzo affronta entrambi e mette in evidenza un percorso in avanti.
Venti contrari politici e strutturali Le politiche di implementazione SbD – che richiedono implicitamente la capacità di imporre il cambiamento nelle pratiche dei fornitori, nonché l'intuizione per progettarle – sono un terreno infido per CISA, poiché l'agenzia in rapida crescita non è un regolatore.
Col tempo, potrebbe diventarlo, ma la leadership attuale e passata insiste sul fatto che tali responsabilità sarebbero in contrasto con la cultura dell'agenzia e le sue responsabilità operative.
La capacità dell'agenzia di supportare, sviluppare capacità, formare, coordinare e pianificare insieme a entità statali, locali, tribali e territoriali e alle parti interessate del settore è radicata nella sua disposizione come partner fidato e coordinatore neutrale.
Ciò significa che CISA dovrebbe essere solo una delle numerose agenzie federali che lavorano per implementare SbD, con la collaborazione di autorità di regolamentazione come la Federal Trade Commission (FTC), un complemento tagliente e tagliente all'approccio aperto di CISA.
In caso contrario, l'iniziativa SbD potrebbe mettere in difficoltà CISA, cercando di risolvere i problemi di incentivazione del mercato radicati, ma senza la capacità di costringere le aziende ad agire in modo diverso.
Gli sforzi della CISA per creare responsabilità potrebbero minare i suoi tentativi di generare buona volontà.
Lo sviluppo e la definizione di una serie di pratiche SbD che i fornitori possono attestare e che il governo degli Stati Uniti e altre parti possono verificare o applicare, è di per sé un'impresa straordinaria.
CISA deve costruire pratiche SbD insieme a un'architettura per l'applicazione che stabilisca ruoli chiari per entità come la FTC, il Dipartimento della Difesa, la Securities and Exchange Commission e la General Services Administration.
La Casa Bianca ha anche la responsabilità qui, e in particolare l'Ufficio del National Cyber Director, di guidare questo sforzo multi-agenzia all'interno di una strategia per gestire la politica del settore di spostare gli incentivi in questo mercato – esattamente ciò che l'ufficio è stato progettato, dotato di personale , e organizzato per fare.
L'attenzione del CISA deve rimanere sull'enumerazione e l'aggiornamento delle pratiche SbD essenziali.
Solo un pezzo del puzzle Come abbiamo sostenuto in precedenza, “nessuna strategia può affrontare tutte le fonti di rischio contemporaneamente, ma .
.
.
i proiettili d'argento spesso scambiano la chiarezza retorica con paralizzanti compromessi interni.
Il programma SbD potrebbe ottenere cambiamenti profondi e significativi nel modo in cui alcuni dei maggiori fornitori di tecnologia costruiscono servizi e prodotti.
Tali modifiche avrebbero vantaggi materiali per la sicurezza di ogni utente di tecnologia.
Tuttavia, convincere tutte le aziende a ottenere un insieme completo e uniforme di best practice è un compito fondamentalmente incompleto.
Gli attori malintenzionati cercano continuamente nuovi mezzi di sfruttamento; diversi settori e classi di sistema affrontano sfide diverse e uniche; e le nuove tecnologie sono soggette a modalità di fallimento, sia nuove che impreviste.
L'adozione di determinati nuovi processi, la loro applicazione rigorosa e la fissazione degli incentivi esistenti rappresenterebbero comunque un miglioramento assolutamente necessario rispetto all'attuale status quo.
Tuttavia, l'adozione di linguaggi sicuri per la memoria o la spinta di grandi attori verso una migliore gestione del rischio non avrebbe necessariamente prevenuto molte vulnerabilità significative nella memoria recente, come Log4Shell.
Per avere successo, CISA dovrà anche capire come le grandi aziende tecnologiche costruiscono prodotti e servizi: l'attuale pratica del settore è tutt'altro che completa o perfetta, ma è la linea di base da cui SbD spera di guidare il cambiamento.
Capire che la linea di base è fondamentale.
C'è pericolo quando la retorica sul trasferimento di responsabilità nel cyberspazio suggerisce che i problemi e le sfide della sicurezza informatica esistono solo perché i fornitori di tecnologia tagliano gli angoli o che tutti i rischi per la sicurezza informatica possono essere evitati seguendo un semplice insieme di pratiche dirette.
La natura sempre più interconnessa e dipendente dei sistemi software, così come la varietà di organizzazioni e sistemi a cui si connettono, crea rischi tutti propri.
SbD è una parte importante della gestione di questo – lo status quo della responsabilità deferita all'utente è rotto – ma descrivere SbD come una panacea rischia di creare un contraccolpo quando l'insicurezza persiste inevitabilmente.
È chiaro che CISA riconosce che il successo in SbD potrebbe essere uno degli interventi politici di maggior impatto nella sicurezza informatica nell'ultimo decennio.
È anche chiaro che il programma, anche nella sua incarnazione di maggior successo, lascerà alcuni problemi irrisolti.
La specificità della portata e degli obiettivi del programma aiuterà a impedire che i suoi inevitabili critici distorcano il dibattito in termini di tutto o niente.
Rischio e opportunità SbD – la prima manifestazione politica dello sforzo della Strategia nazionale per la sicurezza informatica per spostare la responsabilità – non avverrà solo per pura buona volontà.
CISA non è un regolatore e deve definire un percorso per le agenzie federali che sono regolatori in modo che l'implementazione di SbD sfrutti i più ampi poteri di definizione, applicazione e regolamentazione degli standard del governo federale.
Evitare l'applicazione diretta da parte del governo di queste pratiche di sicurezza rischia di consegnare lo sforzo alla storia, insieme a molti altri programmi "volontari" e "guidati dall'industria".
Il team in crescita e di talento del CISA ha 18 mesi fino a gennaio 2025, il che porterà il tumulto paralizzante della transizione o la maturazione ancora caotica di un'amministrazione di primo mandato in un secondo.
I maggiori fornitori che parteciperebbero a questo programma non andranno da nessuna parte e possono permettersi di aspettare.
In questo senso, la CISA e il più ampio apparato di politica informatica del governo degli Stati Uniti sono all'erta.
CISA deve concentrarsi sugli elementi essenziali di SbD e organizzare, costruire e impegnarsi con una scadenza chiara in mente.
L'orologio sta ticchettando.