Vulnerabilità, la nuova politica USA

La Casa Bianca gioca alla "trasparenza" con la pubblicazione del nuovo processo di gestione delle vulnerabilità di sicurezza, un problema ma anche un'arma in mano a NSA e compagnia. Il "disarmo unilaterale" è fuori discussione
La Casa Bianca gioca alla "trasparenza" con la pubblicazione del nuovo processo di gestione delle vulnerabilità di sicurezza, un problema ma anche un'arma in mano a NSA e compagnia. Il "disarmo unilaterale" è fuori discussione

La gestione trumpiana del potere di Washington ha qualcosa da dire anche sulla cyber-sicurezza, un fronte più che mai caldo che secondo la nuova policy testé annunciata dall’amministrazione statunitense verrà d’ora in poi regolamentato tramite uno sforzo inter-agenzia noto come Vulnerabilities Equities Process (VEP).

Si tratta, come spiegano dalla Casa Bianca , di una politica dedicata alla gestione delle vulnerabilità di sicurezza scovate nel software e non solo , un modo per rendere “trasparente” il processo di trattamento delle singole falle dalla fase iniziale – cioè quella della scoperta vera e propria – fino a quella, idealmente, della comunicazione della sua esistenza al pubblico.

Quando gli ufficiali e gli esperti delle agenzie USA più o meno segrete – NSA, CIA, Sicurezza Nazionale e compagnia cantante – scoprono una vulnerabilità ancora ignota, dicono dalla Casa Bianca, un comitato del VEP composto da membri delle diverse agenzie (inclusi Dipartimento di Stato, dell’Energia e del Commercio, FBI e altri) analizza il materiale per decidere il modo in cui procedere .


I revisori hanno il compito di valutare la pericolosità della falla, la sua potenziale utilità per gli interessi del governo statunitense e i rischi che gli USA corrono dalla sua pubblicazione. Entro cinque giorni al massimo il processo di revisione è concluso, e nel caso in cui si sia deciso di rendere nota la vulnerabilità si contatta la società responsabile in un lasso di tempo inferiore ai sette giorni .

Nella maggior parte dei casi una “divulgazione responsabile è ovviamente nell’interesse nazionale” degli USA, dice la nuova policy, anche se la pubblicazione di ogni singola falla equivarrebbe a un “disarmo unilaterale” e sarebbe quindi inaccettabile. Una posizione che non piace – tra gli altri – agli analisti di ESET .

Alfonso Maruccia

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

17 11 2017
Link copiato negli appunti