¿Qué constituye software "crítico" en la Orden ejecutiva de Biden sobre ciberseguridad?

Bajo la dirección del presidente Biden, el Instituto Nacional de Estándares y Tecnología emitió recientemente una definición actualizada de lo que constituye componentes de software "críticos" que se encuentran comúnmente dentro de las cadenas de suministro. Pero según un experto en ciberseguridad, el lenguaje revela una curiosa omisión.

Al proponer qué aspectos de la tecnología de ciberseguridad deben incluirse en la fase de implementación inicial de la orden ejecutiva de la Administración para revisar y asegurar las cadenas de suministro críticas de la nación, el NIST excluye el software integrado y los componentes de firmware, señala Eric Greenwald, asesor general de Finite State, un proveedor de los sistemas de seguridad de dispositivos conectados.

Reconociendo que tales componentes son a menudo "críticos" para asegurar la tecnología de I.T. Sin embargo, el NIST sugiere que son de naturaleza demasiado compleja para ser incluidos en la fase de implementación temprana de los esfuerzos de la Administración.

NIST dice que coordinó su definición con aportes de muchas otras agencias, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina de Gestión y Presupuesto, la Oficina del Director de Inteligencia Nacional y la Agencia de Seguridad Nacional. CISA, parte del Departamento de Seguridad Nacional, se basará en los hallazgos del NIST para diseñar su propia lista de categorías de software que caen bajo el alcance de la primera fase de la revisión.

La afirmación del NIST de que el software y el firmware integrados, los controles básicos de bajo nivel para el hardware del dispositivo, son demasiado complejos para ser asumidos de inmediato, se incluye en una respuesta a las "preguntas frecuentes". Pero Greenwald dice que está desconcertado por la breve declaración.

"No sé qué quieren decir con eso", dice, argumentando que la definición del NIST podría tener el efecto de excluir elementos verdaderamente críticos como los firewalls "simplemente porque están en dispositivos en lugar de basados ​​en la nube".

Greenwald se da cuenta de que el NIST podría preferir no incluir inicialmente software integrado en un chipset en un dispositivo. “Pero cuando se habla de un sistema operativo o de un software de capa de aplicación, no tiene sentido para mí que excluya eso como categoría. Es difícil entender cómo podrían establecer una distinción significativa entre el software del dispositivo y el firmware ".

La "complejidad" no es una justificación para la distinción, dice. "Yo diría que cuanto más complejo es, más importante es que se le apliquen estándares de seguridad elevados".

Una posible motivación para que el NIST establezca límites en el software y el firmware integrados es el deseo de “no morder más de lo que pueden masticar” en la fase de implementación inicial de la orden ejecutiva, reconoce Greenwald. Al exagerar en su definición de lo que constituye software crítico, la agencia correría el riesgo de disuadir a las empresas de tecnología privadas de participar en las adquisiciones del gobierno federal. Aún así, dice, esa no es una razón legítima para excluir esa clase de software de la acción temprana.

La distinción puede parecer académica para algunos, pero va a la esencia de qué proveedores de tecnología se pueden confiar para suministrar sistemas de seguridad clave tanto para el gobierno como para el sector privado. El Departamento de Defensa endureció recientemente sus propios estándares para las adquisiciones, con la emisión de su Certificación de Modelo de Madurez de Ciberseguridad. CMMC dicta que los contratistas elegibles obtengan certificaciones de terceros para vender su software al DOD.

Greenwald ve la posibilidad de instituir un régimen que elimine instantáneamente a cientos de miles de contratistas en una rigurosa iniciativa de cumplimiento. “Hay preguntas sobre quién exactamente se supone que está sujeto a estos”, dice. "La falta de claridad es el diablo".

Pero la falta de claridad también es la preocupación de Greenwald cuando se trata del aparente rechazo por parte del NIST del software integrado y la empresa como elementos críticos que requieren atención inmediata por parte del grupo de trabajo recién designado de Biden sobre interrupciones de la cadena de suministro. Tiene la esperanza de que la agencia aclare pronto su intención, o que CISA elija incluir la categoría en disputa en su lista definitiva de software aplicable.

Aún así, si ambas agencias continúan pasando por alto esos componentes para la fase uno de la orden ejecutiva, "estoy bastante seguro de que se incluirán en la fase dos", dice Greenwald. Omitirlos por completo pondría en grave peligro los esfuerzos para proteger los sistemas contra cualquier tipo de amenaza cibernética.