Usa, l'amministrazione Trump aggiorna la normativa per la divulgazione delle vulnerabilità digitali

L’amministrazione Usa ha aggiornato il suo Vulnerability Equity Process (Vep). Si tratta di un processo interagenzia attraverso il quale vari attori pubblici decidono se comunicare o meno la rilevazione di eventuali difetti riscontrati su prodotti digitali e che potrebbero costituire un pericolo in termini di infrazioni cyber. Lo strumento era stato creato durante la presidenza di Barack Obama

Quando viene scoperta una nuova vulnerabilità presente in software e prodotti digitali, questa viene “revisionata da più dipartimenti e agenzie che determinano l’opportunità o meno di rendere pubbliche le informazioni” si legge sul sito del governo.

In altre parole, decidere se rilasciare informazioni sulla vulnerabilità dipende dalla prospettiva che si ha che la stessa ottenga una patch (correttivo) da parte della casa madre. In alcuni casi, viene invece deciso di “restringere la sconoscenza della vulnerabilità al governo federale, in modo tale che questo possa utilizzarla ai fini della sicurezza nazionale e dell’applicazione della legge”. 

“La gestione delle vulnerabilità richiede un impegno sofisticato per assicurare la protezione dei nostri cittadini, la sicurezza delle infrastrutture critiche e la difesa di importanti interessi commerciali e di sicurezza nazionale” ha affermato Rob Joyce (nella foto), coordinatore della cyber security per la Casa Bianca, in una nota pubblicata oggi sul sito del governo.

“Credo che il nuovo capitolo del Vep” continua il responsabile “ci possa aiutare a bilanciare questi interessi in modo sostenibile. Rendendolo pubblico, spero che potremo dimostrare ai cittadini americani che il governo federale sta pesando in modo molto attento i rischi e i benefici di questa importante missione”.

Secondo gli analisti, si tratta di una mossa per far fronte alle critiche di chi ritiene che il governo, spesso, metta a rischio la sicurezza digitale archiviando le vulnerabilità individuate per preservare la sua capacità di agire. Il riferimento è al caso WannaCry, quando la National Security Agency (Nsa) sfruttò alcune informazioni su bug di Microsoft Windows per predisporre un sistema di hackeraggio per propri utilizzi.

In quel caso le informazioni finirono nelle mani di un gruppo noto con il nome di Shadow Brokers che le pubblicò online mettendole così a disposizione anche di cyber criminali. WannaCry, il virus costruito sfruttando le vulnerabilità di Windows, ha poi infettato computer in più di 150 Paesi.  

(Cyber Affairs)