La gestione trumpiana del potere di Washington ha qualcosa da dire anche sulla cyber-sicurezza, un fronte più che mai caldo che secondo la nuova policy testé annunciata dall’amministrazione statunitense verrà d’ora in poi regolamentato tramite uno sforzo inter-agenzia noto come Vulnerabilities Equities Process (VEP).
Si tratta, come spiegano dalla Casa Bianca , di una politica dedicata alla gestione delle vulnerabilità di sicurezza scovate nel software e non solo , un modo per rendere “trasparente” il processo di trattamento delle singole falle dalla fase iniziale – cioè quella della scoperta vera e propria – fino a quella, idealmente, della comunicazione della sua esistenza al pubblico.
Quando gli ufficiali e gli esperti delle agenzie USA più o meno segrete – NSA, CIA, Sicurezza Nazionale e compagnia cantante – scoprono una vulnerabilità ancora ignota, dicono dalla Casa Bianca, un comitato del VEP composto da membri delle diverse agenzie (inclusi Dipartimento di Stato, dell’Energia e del Commercio, FBI e altri) analizza il materiale per decidere il modo in cui procedere .
I revisori hanno il compito di valutare la pericolosità della falla, la sua potenziale utilità per gli interessi del governo statunitense e i rischi che gli USA corrono dalla sua pubblicazione. Entro cinque giorni al massimo il processo di revisione è concluso, e nel caso in cui si sia deciso di rendere nota la vulnerabilità si contatta la società responsabile in un lasso di tempo inferiore ai sette giorni .
Nella maggior parte dei casi una “divulgazione responsabile è ovviamente nell’interesse nazionale” degli USA, dice la nuova policy, anche se la pubblicazione di ogni singola falla equivarrebbe a un “disarmo unilaterale” e sarebbe quindi inaccettabile. Una posizione che non piace – tra gli altri – agli analisti di ESET .
Alfonso Maruccia
Ti potrebbe interessare
17 nov 2017