En marzo de 2023, la Casa Blanca publicó un nuevo Estrategia Nacional de Ciberseguridad. La estrategia describe una lista de cinco pilares que la Casa Blanca considera fundamentales para mejorar la ciberseguridad de todos los estadounidenses, tanto del sector público como del privado. El tercer pilar se ocupa del impulso para configurar las fuerzas del mercado para mejorar la seguridad y la resiliencia. Parte de esa lista es la idea de que demasiados productores de software no invierten adecuadamente en ciberseguridad o pruebas adecuadas y evitan la responsabilidad por contrato. Con demasiada frecuencia, puede encontrar en la letra pequeña de los acuerdos de usuario algo como: “El Licenciatario acepta indemnizar y eximir de responsabilidad al Licenciante por toda pérdida, costo, gasto o responsabilidad (incluidos los honorarios razonables de abogados) que surjan de un reclamo de un tercero. contra el Licenciante en función del uso del Software por parte del Licenciatario”. (ver más aquí)
Si bien las empresas más grandes tienen el poder y el dinero para hacer cumplir dichos contratos, la Casa Blanca considera que los productores de software y hardware son los responsables en última instancia del software y hardware que producen. Para citar el documento de estrategia: “La responsabilidad debe recaer en las partes interesadas más capaces de tomar medidas para evitar malos resultados, no en los usuarios finales que a menudo soportan las consecuencias de un software inseguro ni en el desarrollador de código abierto de un componente que está integrado en un producto comercial”.
La Casa Blanca propone desarrollar una legislación que establezca la responsabilidad por productos y servicios de software. Tal responsabilidad puede parecer aterradora si usted es una empresa que hasta ahora ha dependido de acuerdos de usuario ofuscados y de cambio de culpa para evadir exactamente ese tipo de problemas legales. Es aún más desconcertante si consideramos la facilidad con la que tales reclamaciones se presentan al sistema legal estadounidense.
Para ofrecer una zanahoria a todas esas empresas poderosas, la estrategia propone el avance del marco de puerto seguro para proteger de responsabilidad a aquellas empresas que puedan demostrar que han hecho todo lo que debían para proteger su software. El término Puerto Seguro aparece en el documento sólo dos veces. Probablemente se esté preguntando qué es exactamente este marco propuesto, de dónde viene y qué términos están cubiertos actualmente o se propone cubrir.
En este artículo, analizaremos las leyes de puerto seguro existentes y veremos dónde se aplican actualmente y qué ofrecen a las empresas que las respetan.
¿Cuáles son las leyes de puerto seguro existentes? Explorando las leyes que actualmente brindan protección
A la fecha, varios estados han introducido Violacíon de datos litigios Leyes de “puerto seguro” que ofrecen una defensa afirmativa ante la responsabilidad resultante de violaciones de datos con el objetivo de alentar a las empresas a ser proactivas con su ciberseguridad. Una organización debe implementar y mantener programas de ciberseguridad que cumplan con los estándares de mejores prácticas reconocidos por la industria y ser capaz de demostrar un cumplimiento razonable con ellos en el momento de la infracción para calificar para la protección de puerto seguro.
Ohio fue el primer estado en aprobar la defensa afirmativa de ciberseguridad en 2018. Connecticut y Utah adoptó recientemente sus leyes en 2021. Varios otros estados han propuesto leyes similares de puerto seguro. En particular, por Iowa y Nueva Jersey en 2020 y por Georgia e Illinois en 2021 (ver aquí para más detalles). Si bien todas estas propuestas ofrecen a las empresas con programas de ciberseguridad una defensa positiva, las condiciones exactas dependen del estado. Por ejemplo, los marcos estándar de la industria que se mencionan en los proyectos de ley de Connecticut, Ohio y Utah no se enumeran específicamente en el proyecto de ley de Georgia. En cambio, la ley de Georgia exige un marco “razonable” que tenga en cuenta el tamaño de la empresa, la complejidad y la sensibilidad de la información que se protege. Aunque esta estrategia es un componente clave de las leyes de otros estados, el proyecto de ley de Georgia parece haber tomado la decisión de no restringir las opciones a esos marcos específicos.
En términos de estándares aceptables, el marco de ciberseguridad más común en EE. UU. en la actualidad es el SSDF del NIST (NIST 800-218) y este marco también se menciona en el documento de estrategia de la Casa Blanca.
Es importante tener en cuenta que en ninguno de estos casos la protección contra responsabilidad es absoluta. Safe Harbor no puede utilizarse como defensa si una organización conocía una amenaza o vulnerabilidad y no tomó medidas razonables para abordarla de manera oportuna, lo que provocó una violación de datos. En general, la idea detrás de la legislación es alentar a las empresas a aplicar las mejores prácticas para protegerse. Si ni siquiera cumplen con el mínimo requerido por las mejores prácticas reconocidas por la industria, no pueden quedar exentos de su responsabilidad cuando inevitablemente ocurre una violación de datos.
¿Cuál es el papel de CISA en esta estrategia de ciberseguridad?
En abril de 2023, CISA publicó una nueva guía conjunta para la seguridad del software llamada Cambiando el equilibrio del riesgo de ciberseguridad: Seguridad por diseño y principios predeterminados. Esta guía de políticas salió aproximadamente un mes después de la publicación del documento de estrategia de la Casa Blanca y su influencia puede verse claramente. Con el apoyo de varias agencias de ciberseguridad de todo el mundo, CISA pretende adoptar el mismo enfoque que propone la Casa Blanca y hacerlo global. La guía pretende conseguir Los fabricantes de software asuman la responsabilidad de sus productos y códigos utilizando una transparencia radical y creando productos seguros, desarrollando otros que sean seguros por diseño y por defecto.
Otra capa de información que es útil tener sobre sus componentes es su licencia. Muchos componentes de código abierto vienen con una licencia que no es compatible con el uso comercial. Es importante asegurarse de que todos sus componentes de código abierto, incluso aquellos que no incluyó usted mismo pero sí fueron incluidos por algún otro componente, sean compatibles con lo que esté intentando hacer en términos de su licencia.
Estas ideas fundamentales se amplían en la guía CISA, que también ofrece a los desarrolladores de software una larga lista de recomendaciones prácticas para hacer que sus productos sean más seguros.
Es interesante ver cuántas de estas recomendaciones específicas se basan en Marco SSDF del NIST pero expresado de una manera menos voluntaria y más práctica. Por ejemplo, la guía establece que los desarrolladores de software deben incorporar la creación de an SBOM en su SDLC para proporcionar visibilidad de los componentes de su software. Si bien la SSDF recomienda el SBOM, nunca se menciona como una instrucción clara y obligatoria.
Legalizando el cambio de responsabilidad
La Estrategia Nacional de Ciberseguridad, o al menos esta parte de ella, propone crear un marco unificado de Puerto Seguro basado en las leyes estatales existentes pero mucho más extenso y completo. Por un lado, las leyes existentes sólo ofrecen protección contra la responsabilidad en caso de violación de datos. El marco propuesto funcionaría para cualquier responsabilidad por un incidente cibernético siempre que la empresa procesada pueda demostrar su cumplimiento de las mejores prácticas existentes, como el SSDF.
El marco propuesto debe ser adaptable y capaz de evolucionar para incorporar nuevos marcos de seguridad y nuevas mejores prácticas a medida que se descubran e implementen. La estrategia propone seguir invirtiendo en programas de divulgación de seguridad y en el desarrollo de herramientas y casos de uso de SBOM adicionales.
El ecosistema de software no puede seguir avanzando como lo ha hecho hasta ahora sin un cambio importante de responsabilidad. Debe quedar claro para todos, tanto productores como usuarios, que la seguridad es lo primero y más importante en cualquier producto de software, desde la idea inicial y la etapa de diseño en adelante. La seguridad no debe ser algo que se agregue en el último momento una vez finalizado el desarrollo. El cambio de responsabilidad no puede ocurrir sin el sector privado y como este sector es conocido por su aborrecimiento de la intervención federal de mano dura, la idea de ofrecer una "zanahoria" en forma de una tarjeta para "salir libre de la cárcel" es un buen incentivo. .
Cómo demostrar el cumplimiento de las mejores prácticas de seguridad cibernética
Tener una ley que diga que usted necesita "demostrar su cumplimiento de las mejores prácticas existentes" está muy bien, ¿cómo lo haría? Las regulaciones actuales de EE. UU. y las mejores prácticas, como el SSDF, alientan a los productores de software a hacer uso de atestaciones para asegurar su cadena de suministro en los demás. para proporcionar dicha prueba.
Las certificaciones son pruebas verificables y firmadas criptográficamente (como archivos, carpetas, repositorios, procedencia de archivos o resultados de pruebas). Dicha prueba debe vincularse a un contexto ambiental específico, haciendo de la atestación una prueba inmutable que pueda ser verificada para demostrar la existencia del hecho o expediente testificado.
Scribe ofrece una herramienta llamada valent que proporciona la capacidad de generar pruebas, firmarlas en una certificación y, posteriormente, recuperarlas y verificarlas. El uso de esta herramienta junto con el Plataforma Scribe Hub puede generar un rastro de evidencia de certificaciones no solo para su producto final sino para cada una de las compilaciones que conducen a él, demostrando su cumplimiento de las mejores prácticas de seguridad de forma continua y a lo largo del tiempo en lugar de solo en un punto singular, como justo después de finalizar la compilación. .
Scribe ofrece el uso de Valint de forma gratuita y ofrece el uso de su plataforma de forma freemium; puedes empezar a experimentar con ella de forma gratuita ahora mismo. Prueba Scribe gratis y vea qué herramientas y capacidades le ofrece. Recopilar dicha evidencia continuamente para cada una de sus compilaciones también puede ofrecerle una perspectiva única de la seguridad de sus productos a lo largo del tiempo. Dado que parece que los vientos de cambio predominantes apuntan hacia una mayor responsabilidad de los productores de software, parece una buena idea comenzar a recopilar pruebas y testimonios concretos ahora, en lugar de esperar a que se conviertan en ley.
Este contenido es presentado por Scribe Security, un proveedor líder de soluciones de seguridad de la cadena de suministro de software de extremo a extremo, que ofrece seguridad de última generación para artefactos de código y procesos de desarrollo y entrega de código en todas las cadenas de suministro de software. Más información.