L’agenzia statunitense per la sicurezza informatica CISA intensifica i suoi sforzi per migliorare gli standard di sicurezza dei software aziendali: lancia un impegno volontario “Secure by Design Pledge” per i produttori. Le aziende che sottoscrivono l’impegno devono adottare misure per avvicinare i propri prodotti a questo obiettivo entro 12 mesi dalla firma. Tuttavia, non vi è alcun effetto giuridicamente vincolante.
annuncio
Finora, 68 aziende hanno assunto questo impegno volontario, inclusi i giganti del settore cloud come Amazon Web Services, Cloudflare e Google. Nel frattempo, Meta, la società madre di Apple e Facebook, ha brillato per la sua assenza. Diverse altre aziende firmatarie, come Microsoft, FortiNet, Cisco e Ivanti, hanno recentemente riscontrato gravi problemi di sicurezza e hanno dovuto affrontare dure parole e misure punitive da parte della CISA.
Ora non possono essere solo chiacchiere. Entro un anno dalla firma dell’impegno, ciascuna azienda dovrà attuare misure in sette ambiti. Egli dovrebbe:
- Implementare l'autenticazione a più fattori in modo più intensivo,
- Sostituisci le password standard come “admin/password” con alternative sicure,
- Ridurre l'esposizione ad almeno una classe di vulnerabilità, come l'SQL injection, nell'intera famiglia di prodotti,
- Un miglioramento significativo nel modo in cui i clienti installano le patch di sicurezza,
- Stabilire un regolamento per la pubblicazione delle vulnerabilità (Vulnerability Disclosure Policy, VDP),
- Mappa rapidamente le vulnerabilità pubblicate utilizzando l'ID CVE e i relativi metadati
- Facilitare la raccolta di informazioni dopo un incidente di sicurezza, ad esempio attraverso i log.
SU Pagina del progetto Per il Secure Design Pledge, CISA fornisce esempi di misure che le aziende possono utilizzare per migliorare i propri sforzi in materia di sicurezza. Invita inoltre i firmatari a documentare pubblicamente i propri progressi.
La US Cybersecurity Commission fornisce ampie linee guida sul principio della “sicurezza fin dalla progettazione”, ad esempio su come contenere le SQL injection e i buchi di directory traversal.
(Kaku)