Nel marzo 2023 la Casa Bianca ha rilasciato una nuova Strategia nazionale per la sicurezza informatica. La strategia delinea un elenco di 5 pilastri che la Casa Bianca considera fondamentali per migliorare la sicurezza informatica per tutti gli americani, sia nel settore pubblico che in quello privato. Il terzo pilastro riguarda la spinta a modellare le forze di mercato per migliorare la sicurezza e la resilienza. Parte di questo elenco è l'idea che troppi produttori di software non investono adeguatamente nella sicurezza informatica o nei test adeguati ed evitano la responsabilità contrattuale. Troppo spesso è possibile trovare nelle scritte in piccolo dei contratti d'uso qualcosa del tipo: "Il Licenziatario si impegna a indennizzare e tenere indenne il Licenziante da e contro tutte le perdite, costi, spese o responsabilità (comprese ragionevoli spese legali) derivanti da un reclamo da parte di terzi contro il Licenziante in base all'utilizzo del Software da parte del Licenziatario." (Vedi altro qui)
Mentre le aziende più grandi hanno il potere e il denaro per far rispettare tali contratti, la Casa Bianca considera i produttori di software e hardware i responsabili ultimi del software e dell’hardware che producono. Per citare il documento strategico: “La responsabilità deve essere attribuita alle parti interessate più capaci di agire per prevenire risultati negativi, non agli utenti finali che spesso sopportano le conseguenze di un software non sicuro né allo sviluppatore open source di un componente che è integrato in un prodotto commerciale.”
La Casa Bianca propone di sviluppare una legislazione che stabilisca la responsabilità per prodotti e servizi software. Tale responsabilità può sembrare spaventosa se sei un'azienda che finora ha fatto affidamento sullo spostamento della colpa e su accordi con gli utenti offuscati per eludere esattamente quel tipo di problemi legali. La cosa è ancor più sconcertante se si considera la facilità con cui simili pretese vengono presentate al sistema giuridico americano.
Per offrire una carota a tutte queste potenti aziende, la strategia propone l'avanzamento del quadro Safe Harbor per proteggere dalla responsabilità quelle aziende che possono dimostrare di aver fatto tutto il necessario per proteggere il proprio software. Il termine Safe Harbor compare nel documento solo due volte. Probabilmente ti starai chiedendo cos'è esattamente questo quadro proposto, da dove proviene e quali termini sono attualmente coperti o si propone di coprire.
In questo articolo esamineremo le leggi Safe Harbor esistenti e vedremo dove si applicano attualmente e cosa offrono alle aziende che le rispettano.
Quali sono le leggi Safe Harbor esistenti? Esplorare le leggi che attualmente garantiscono un approdo sicuro
Ad oggi, diversi stati hanno introdotto violazione di dati contenzioso Leggi “Safe Harbor” che offrono una difesa affermativa dalla responsabilità derivante da violazioni dei dati con l’obiettivo di incoraggiare le aziende a essere proattive riguardo alla propria sicurezza informatica. Un’organizzazione deve implementare e mantenere programmi di sicurezza informatica che aderiscano agli standard di best practice riconosciuti nel settore ed essere in grado di dimostrare una ragionevole conformità ad essi al momento della violazione per poter beneficiare della protezione Safe Harbor.
Ohio è stato il primo Stato a approvare la difesa affermativa sulla sicurezza informatica nel 2018. Connecticut e Utah hanno recentemente adottato le loro leggi nel 2021. Leggi simili Safe Harbor sono state proposte da molti altri stati. In particolare, da Iowa e New Jersey nel 2020 e da Georgia e Illinois nel 2021 (cfr. qui per ulteriori dettagli). Sebbene tutte queste proposte offrano alle aziende con programmi di sicurezza informatica una difesa positiva, le condizioni esatte dipendono dallo Stato. Ad esempio, i quadri standard del settore menzionati nelle leggi del Connecticut, Ohio e Utah non sono specificatamente elencati nella legge della Georgia. La legge della Georgia impone invece un quadro “ragionevole” che tenga conto delle dimensioni dell'azienda, della complessità e della sensibilità delle informazioni da proteggere. Sebbene questa strategia sia una componente chiave delle leggi degli altri stati, il disegno di legge della Georgia sembra aver preso la decisione di non limitare le opzioni a quei quadri specifici.
In termini di standard accettabili, il quadro di sicurezza informatica statunitense più comune oggi è l’SSDF del NIST (NIST800-218) e questo quadro è menzionato anche nel documento strategico della Casa Bianca.
È importante notare che in nessuno di questi casi la tutela dalla responsabilità è assoluta. Safe Harbor non può essere utilizzato come difesa se un’organizzazione era a conoscenza di una minaccia o di una vulnerabilità e non ha intrapreso azioni ragionevoli per affrontarla in modo tempestivo, provocando una violazione dei dati. Nel complesso, l’idea alla base della legislazione è quella di incoraggiare le aziende ad adottare le migliori pratiche per proteggersi. Se non riescono a fare nemmeno il minimo richiesto dalle migliori pratiche riconosciute nel settore, non possono essere esonerati dalle loro responsabilità quando inevitabilmente si verifica una violazione dei dati.
Qual è il ruolo della CISA in questa strategia di sicurezza informatica?
Nell'aprile 2023, CISA ha pubblicato una nuova guida congiunta per la sicurezza del software denominata Spostare l’equilibrio del rischio di sicurezza informatica: Principi di sicurezza fin dalla progettazione e principi predefiniti. Questa guida politica è stata pubblicata circa un mese dopo la pubblicazione del documento strategico della Casa Bianca e la sua influenza è chiaramente visibile. Con il supporto di diverse agenzie di sicurezza informatica di tutto il mondo, CISA mira ad adottare lo stesso approccio proposto dalla Casa Bianca e renderlo globale. La guida si propone di ottenere i produttori di software ad assumersi la responsabilità dei propri prodotti e codici utilizzando una trasparenza radicale e costruendo prodotti sicuri, sviluppando prodotti che siano sicuri fin dalla progettazione e sicuri per impostazione predefinita.
Un altro livello di informazioni utili sui componenti è la loro licenza. Molti componenti open source vengono forniti con una licenza non compatibile con l'uso commerciale. È importante assicurarsi che tutti i tuoi componenti open source, anche quelli che non hai incluso tu stesso ma che sono stati inclusi da qualche altro componente, siano compatibili con qualsiasi cosa tu stia cercando di realizzare in termini di licenza.
Queste idee fondamentali sono approfondite nella guida CISA, che offre anche agli sviluppatori di software un lungo elenco di raccomandazioni attuabili per rendere i loro prodotti più sicuri.
È interessante vedere su quante di queste raccomandazioni specifiche si basano Il quadro SSDF del NIST ma espresso in un modo meno volontario e più pratico. Ad esempio, la guida afferma che gli sviluppatori di software dovrebbero incorporare la creazione di an SBO nel loro SDLC per fornire visibilità sui componenti del loro software. Anche se l'SSDF consiglia la SBOM, questa non viene mai menzionata come un'istruzione chiara e obbligatoria.
Legalizzare lo spostamento della responsabilità
La strategia nazionale per la sicurezza informatica, o almeno questa parte di essa, propone di creare un quadro unificato di Safe Harbor basato sulle leggi statali esistenti ma molto più ampio e completo. Da un lato, le leggi esistenti offrono protezione dalla responsabilità solo in caso di violazione dei dati. Il quadro proposto funzionerebbe per qualsiasi responsabilità per un incidente informatico purché la società perseguita possa dimostrare la propria conformità con le migliori pratiche esistenti come la SSDF.
Il quadro proposto deve essere adattabile ed essere in grado di evolversi per incorporare nuovi quadri di sicurezza e nuove migliori pratiche man mano che vengono scoperti e implementati. La strategia propone di continuare a investire in programmi di divulgazione della sicurezza e nello sviluppo di ulteriori strumenti e casi d’uso SBOM.
L’ecosistema software non può continuare ad avanzare come ha fatto finora senza un serio cambiamento di responsabilità. Dovrebbe essere chiaro a tutti, produttori e utenti, che la sicurezza viene prima di tutto in qualsiasi prodotto software, a partire dalla fase iniziale di idea e progettazione in poi. La sicurezza non dovrebbe essere una cosa aggiunta come ripensamento dopo aver terminato lo sviluppo. Lo spostamento della responsabilità non può avvenire senza il settore privato e poiché questo settore è noto per la sua avversione per il coinvolgimento pesante del governo federale, l'idea di offrire una "carota" sotto forma di una carta "esci gratis di prigione" è un buon incentivo. .
Come dimostrare l'aderenza alle migliori pratiche di sicurezza informatica
Avere una legge che dice che devi "dimostrare la tua aderenza alle migliori pratiche esistenti" va benissimo, come faresti? Le attuali normative statunitensi e le migliori pratiche come la SSDF incoraggiano i produttori di software a farne uso attestazioni per garantire la propria catena di fornitura e così fornire tale prova.
Le attestazioni sono elementi di prova verificabili e firmati crittograficamente (come file, cartelle, archivi, provenienza dei file o risultati di test). Tali prove dovrebbero essere collegate ad uno specifico contesto ambientale, rendendo l'attestazione un elemento di prova immutabile e verificabile per dimostrare l'esistenza dell'evento o del fatto testimoniato.
Scribe offre uno strumento chiamato Valente che fornisce la capacità di generare prove, firmarle in un'attestazione e, successivamente, recuperarle e verificarle. Utilizzando questo strumento insieme a Piattaforma Scribe Hub puoi generare una serie di prove di attestazioni non solo per il tuo prodotto finale ma per ciascuna delle build che portano ad esso, dimostrando la tua aderenza alle migliori pratiche di sicurezza in modo continuo e nel tempo anziché solo in un singolo punto, come subito dopo il completamento della build .
Scribe offre l'uso di Valint gratuitamente e offre l'uso della sua piattaforma su base freemium: puoi iniziare a sperimentarlo gratuitamente adesso. Prova Scribe gratuitamente e scopri quali strumenti e funzionalità ti offre. La raccolta continua di tali prove per ciascuna delle tue build può anche offrirti una prospettiva unica della sicurezza dei tuoi prodotti nel tempo. Dato che sembra che i venti prevalenti di cambiamento stiano puntando verso un'espansione della responsabilità dei produttori di software, sembra una buona idea iniziare a raccogliere prove concrete e attestazioni ora, piuttosto che aspettare quando saranno codificate in legge.
Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.