I report recenti dell'amministrazione USA indicano una tendenza marcata verso la responsabilizzazione estesa dei manager aziendali, ma anche delle software house
È sostanzialmente dal caso Solarwinds in poi che le vulnerabilità software sono diventate una priorità non solo per le aziende ma anche per i Governi. Le falle nelle piattaforme Solarwinds hanno colpito un numero così elevato di imprese, organizzazioni e istituzioni da diventare una questione di Stato, perché un tessuto industriale e sociale non sicuro è un problema strutturale, non privato.
In particolare negli Stati Uniti la questione della sicurezza del software è stata al centro di diversi interventi dell'amministrazione Biden, all'interno della National Cybersecurity Strategy americana. Diversi report governativi recenti hanno ad esempio invitato le aziende e le software house a usare linguaggi e metodi di sviluppo più sicuri. Ed è chiara la tendenza ad andare verso la definizione di metriche standardizzate che valutino e indichino l'affidabilità delle piattaforme software.
Ma soprattutto c'è da segnalare una tendenza verso una responsabilizzazione collettiva nelle tematiche di cybersecurity. "Per troppo tempo - spiega la Casa Bianca - la responsabilità principale della sicurezza informatica di un'organizzazione è stata affidata al CISO dell'azienda" che utilizza software potenzialmente vulnerabili. Ma il CISO "non può essere l'unica parte interessata a rispondere dei risultati della cybersecurity".
Sono ugualmente responsabili i Chief Technical Officer delle software house che portano prodotti sul mercato, per ovvi motivi, come anche i CIO delle aziende utenti, perché di fatto scelgono i software da utilizzare. In presenza di chiare metriche di sicurezza standard, poi, la responsabilità della cybersecurity sarebbe estesa anche ai CEO delle aziende utenti, perché questi avrebbero i mezzi per imporre la scelta di piattaforme sicure e non farlo avrebbe conseguenze dirette sul business.
Secondo i report tecnici dell'amministrazione Biden ci sono tre dimensioni fondamentali lungo le quali analizzare i rischi di cybersecurity dei software: il processo di sviluppo, l'analisi e il test dei software stessi, l'ambiente in cui vengono eseguiti. I CTO dei produttori di software e i CIO delle aziende utenti sono i più adatti a prendere decisioni sulla qualità intrinseca del software e sono quindi più interessati alle prime due dimensioni del rischio di cybersecurity.
I CTO delle software house devono ad esempio agire sulla struttura dei team di sviluppo, sui cicli di miglioramento dei software, sui metodi di analisi e test da usare per eliminare il più possibile le potenziali vulnerabilità. I CIO utenti devono invece valutare la scelta del fornitore software più affidabile, in funzione della propria esperienza e delle informazioni disponibili.
Il CISO si occupa principalmente della sicurezza dei sistemi IT di un'azienda, ma ha un controllo relativo sul software che questi usano. Al CISO resta quindi la terza dimensione della cybersecurity: realizzare un ambiente sicuro e resiliente in cui i software vengano eseguiti. Le sue scelte sono tecniche: in che modo eseguire certi software, con quali risorse, con quali privilegi, attivando quali misure di monitoraggio e protezione. Tutto questo, spiega la Casa Bianca, "non elimina le vulnerabilità [dei software] ma ne attenua l'impatto, fungendo da potenziale rete di sicurezza in caso di loro sfruttamento".
Il lavoro del CISO resta comunque troppo complicato perché "i produttori di software non sono sufficientemente incentivati - spiegano gli esperti americani - a dedicare risorse adeguate a pratiche di sviluppo sicure e i loro clienti non richiedono software di qualità superiore perché non sanno come misurarla". Inoltre, "le organizzazioni non adottano misure sufficienti per mitigare il rischio di un software di bassa qualità perché non sono consapevoli di correre tale rischio e spesso non possono permettersi le mitigazioni, anche se le conoscono".
La strada indicata è quindi quella di una maggiore conoscenza "preventiva" della qualità dei software. Quella "ex post" che deriva dalla scoperta di una vulnerabilità, di solito quando questa è già ampiamente sfruttata, non basta più.