Chefe da CISA: Os fabricantes de software inseguro são os verdadeiros vilões cibernéticos
Desenvolvedores de software que distribuem códigos cheios de bugs e inseguros são os verdadeiros vilões na história do crime cibernético, de acordo com Jen Easterly, chefe da Agência de Segurança Cibernética e de Infraestrutura do governo dos EUA.
“A verdade é: os fornecedores de tecnologia são os personagens que estão criando problemas” em seus produtos, que então “abrem as portas para os vilões atacarem suas vítimas”, declarou Easterly durante uma entrevista na quarta-feira. nota principal discurso na conferência mWise da Mandiant.
Easterly também implorou ao público para parar de “glamourizar” gangues criminosas com nomes poéticos extravagantes. Que tal “Scrawny Nuisance” ou “Evil Ferret”, sugeriu Easterly.
Até mesmo chamar falhas de segurança de “vulnerabilidades de software” é muito brando, ela acrescentou. Essa frase “realmente difunde a responsabilidade. Deveríamos chamá-las de ‘defeitos de produto'”, disse Easterly. E em vez de culpar automaticamente as vítimas por não corrigirem seus produtos com rapidez suficiente, “por que não perguntamos: Por que o software requer tantos patches urgentes? A verdade é: Precisamos exigir mais dos fornecedores de tecnologia”.
Por que o software requer tantos patches urgentes? Precisamos exigir mais dos fornecedores
Embora todos na plateia da conferência anual de segurança da informação tenham estabilidade no emprego, Easterly brincou que também é papel do setor dificultar que criminosos comprometam os sistemas.
“Apesar de uma indústria de segurança cibernética multibilionária, ainda temos um problema de qualidade de software multitrilionário que leva a um problema global de crimes cibernéticos multitrilionário”, lamentou Easterly.
Embora ninguém compre um carro ou embarque em um avião “inteiramente por sua conta e risco”, fazemos isso todos os dias com o software que sustenta a infraestrutura crítica dos Estados Unidos, ela acrescentou.
“Infelizmente, caímos no mito do excepcionalismo tecnológico”, opinou Easterly. “Não temos um problema de segurança cibernética – temos um problema de qualidade de software. Não precisamos de mais produtos de segurança – precisamos de produtos mais seguros.”
Este é um tambor que Easterly tem sido batendo desde que assumiu o comando da agência de defesa cibernética dos EUA. Ela tende a falar mais alto em eventos do setor, como a Conferência anual da RSA, onde ela contado participantes que proteger o código “é a única maneira de tornar o ransomware e os ataques cibernéticos uma anomalia chocante”.
Também na RSAC, quase 70 grandes nomes – incluindo AWS, Microsoft, Google, Cisco e IBM – assinado Compromisso Secure by Design da CISA – um compromisso de “fazer um esforço de boa-fé para trabalhar em direção a” sete metas de software seguro dentro de um ano e ser capaz de mostrar seu progresso de forma mensurável.
Na mWise, Easterly revelou que esse número cresceu para quase 200 fornecedores.
Mas o compromisso continua voluntário, então as empresas de software que não seguirem suas diretrizes — como aumentar o uso de autenticação multifator em seus produtos e reduzir senhas padrão — não serão punidas se ignorá-lo.
Google diz que substituir C/C++ em firmware por Rust é fácil
Easterly quer que isso mude. Ela sugeriu que os compradores de tecnologia usem seu poder de aquisição para pressionar os fornecedores de software, perguntando aos fornecedores se eles assinaram o compromisso – e, esperançosamente, fizeram mais do que apenas colocar tinta no papel em termos de construção seguro por design [PDF] produtos.
Para tal, a CISA acaba de publicar orientação que as organizações que compram software podem usar e perguntas que devem fazer aos fabricantes para entender melhor se estão priorizando a segurança no ciclo de vida de desenvolvimento do produto.
“Use sua voz, tenha um papel ativo, use seu poder de compra para avançar com segurança desde o início, exigindo isso”, pediu Easterly.
E então cruze os dedos e reze para que mais e mais fornecedores realmente comecem a levar coisas como pré-lançamento teste de software e código seguro para o coração. ®