Alfonso Maruccia

Vulnerabilità, la nuova politica USA

La Casa Bianca gioca alla "trasparenza" con la pubblicazione del nuovo processo di gestione delle vulnerabilità di sicurezza, un problema ma anche un'arma in mano a NSA e compagnia. Il "disarmo unilaterale" è fuori discussione

Roma - La gestione trumpiana del potere di Washington ha qualcosa da dire anche sulla cyber-sicurezza, un fronte più che mai caldo che secondo la nuova policy testé annunciata dall'amministrazione statunitense verrà d'ora in poi regolamentato tramite uno sforzo inter-agenzia noto come Vulnerabilities Equities Process (VEP).

Si tratta, come spiegano dalla Casa Bianca, di una politica dedicata alla gestione delle vulnerabilità di sicurezza scovate nel software e non solo, un modo per rendere "trasparente" il processo di trattamento delle singole falle dalla fase iniziale - cioè quella della scoperta vera e propria - fino a quella, idealmente, della comunicazione della sua esistenza al pubblico.

Quando gli ufficiali e gli esperti delle agenzie USA più o meno segrete - NSA, CIA, Sicurezza Nazionale e compagnia cantante - scoprono una vulnerabilità ancora ignota, dicono dalla Casa Bianca, un comitato del VEP composto da membri delle diverse agenzie (inclusi Dipartimento di Stato, dell'Energia e del Commercio, FBI e altri) analizza il materiale per decidere il modo in cui procedere.

I revisori hanno il compito di valutare la pericolosità della falla, la sua potenziale utilità per gli interessi del governo statunitense e i rischi che gli USA corrono dalla sua pubblicazione. Entro cinque giorni al massimo il processo di revisione è concluso, e nel caso in cui si sia deciso di rendere nota la vulnerabilità si contatta la società responsabile in un lasso di tempo inferiore ai sette giorni.

Nella maggior parte dei casi una "divulgazione responsabile è ovviamente nell'interesse nazionale" degli USA, dice la nuova policy, anche se la pubblicazione di ogni singola falla equivarrebbe a un "disarmo unilaterale" e sarebbe quindi inaccettabile. Una posizione che non piace - tra gli altri - agli analisti di ESET.

Alfonso Maruccia

fonte immagine
Notizie collegate