Tras varios incidentes importantes de ciberseguridad, el Gobierno de EE.UU. quiere reforzar su cadena de suministro de software.
Dos expertos explican los beneficios de algunos enfoques y por qué no hay una solución milagrosa.
Las recientes intrusiones en agencias federales e infraestructuras críticas están haciendo que el Gobierno examine más de cerca cómo se fabrica el software, además de quién lo hace y dónde.
Incluso antes de que el Presidente Joe Biden y su equipo de transición entraran en la Casa Blanca en medio de la crisis de SolarWinds, el poder ejecutivo estaba trabajando para reducir colectivamente las debilidades en su cadena de suministro. Una nueva orden ejecutiva profundiza en las técnicas básicas de desarrollo de software, más que cualquier otra de las administraciones anteriores.
El incidente de SolarWinds, en particular, llamó la atención sobre la responsabilidad de los proveedores de defender a sus clientes de los ataques. Los piratas informáticos fueron capaces de infiltrarse en decenas de entidades, incluidas nueve agencias federales, en parte gracias a la entrada en el entorno de SolarWinds y al envío de una actualización con malware.
La nueva orden, emitida el 12 de mayo, pretende elevar el estándar del software que el gobierno compra basándose en prácticas básicas de ciber higiene y capacidades de auditoría en general, en lugar de prohibir a empresas como Huawei y Kaspersky de regímenes sospechosos, China y Rusia, respectivamente.
Nextgov’s Critical Update examinó un elemento central de la orden, una lista de materiales de software, o SBOM, y su potencial para cambiar la forma en que la industria hace negocios, entre otras formas en que los funcionarios gubernamentales podrían tratar de fomentar un desarrollo de software más seguro.
«Si se considera una declaración de materiales de software como indicador de una organización de desarrollo de productos de alto rendimiento, puede emplearse como un canario en la mina de carbón», dijo Beau Woods, asesor principal de la Cybersecurity and Infrastructure Security Agency. «Es un pequeño cambio conceptual para abrir esa transparencia. Pero hay muchas formas de hacerlo, a, y b, hay muchos cambios en los procesos empresariales estándar y en los procedimientos operativos que tendrían que acompañar a algunas de esas formas de abrir la transparencia en la cadena de suministro.»
Para la gran mayoría de la cadena de suministro de software, que es de código abierto, esa transparencia no es un problema. Pero para los proveedores de la parte superior que guardan sus procesos y mantienen derechos exclusivos sobre su código, puede ser necesario algo más de convencimiento para maximizar los beneficios de seguridad de la divulgación total de los componentes.
«Algunos de los proveedores de código cerrado realmente no quieren revelar esa información. En parte, creo que es por razones legítimas, y en parte creo que es porque no quieren admitir que hay algunos problemas muy graves en el software que están liberando a sus clientes», dijo David Wheeler, director de seguridad de la cadena de suministro de código abierto de la Fundación Linux. «Creo que habrá organizaciones que se opondrán a ello».
Fte. Nextgov