Profissionais de TI não podem ignorar problema e devem manter atenção em toda sua cadeia de suprimento
O pedrigree do software, isto é, saber quem desenvolveu cada passo do código e torná-lo digno de confiança, é um dos mais processos mais importantes e, ao mesmo tempo, um dos mais difíceis. No começo desse ano, a Etisalat, fornecedora de telecom árabe, empurrou para os usuários de Blackberry o que disse ser a atualização do software para melhorar o desempenho do aparelho, mas, na verdade, era um spyware que fornecia acesso à todas as informações nos dispositivos.
Brian Chess, cientista chefe da Fortify, empresa especializada em garantir a seguraça de softwares, recomenda um processo de três passos: fazer inventário de software e usar ferramentas que analisam o código atrás de vulnerabilidades e brechas; pedir aos fornecedores que documentem todo o processo de criação e desenvolvimento do software; reconhecer que nenhum desses passos é o bastante e, portanto, manter o rigor em outros esforços de segurança virtual.
Depois de ter o software instalado, para garantir que hackers não estão usando a porta dos fundos para criar códigos, é importante ter todos os dados referentes ao tráfego de rede, afirma Tracy Hulver, VP da NetForensics. Se algo parecer errado, “estarei alerta e poderei fazer alguma coisa a respeito”, disse ele. Isso também se aplica às anormalidades no comportamento do usuário. “Se te disserem que estão recebendo acesso ao banco de dados de um IP de fora dos EUA, e isso não é normal, é preciso dar fim a esse acesso”, completa Hulver.
Marcus Sachs, executivo da Verizon, recomenda uma abordagem multidimensional para atenuação dos riscos, incluindo o estabelecimento de um novo padrão de código na indústria de software, o monitoramento mais próximo de softwares desenvolvidos no exterior e um mandato que obrigue que os softwares críticos usados por agências governamentais sejam escritos em casa.
A indústria de software está no início dos processos de discussão sobre esses problemas com cadeias de suprimento. A SAFECode trabalha com a Adobe, EMC, Juniper, Microsoft, Nokia, SAP e Symantec para desenvolver as melhores práticas para a criação segura de software. “Descobrimos que não existe um dicionário ou um formato comum para descrever a integridade de uma cadeia de suprimento”, disse Paul Kurtz, diretor executivo da SAFECode e executivo de segurança virtual da Casa Branca durante o mandato do presidente George W. Bush. “Agora olhamos pra isso juntos, o que é extremamente importante porque juntos criamos uma estrutura comum.”
Bill Billings, CSO do grupo fereral da Microsoft, acredita que a indústria de computação deveria adotar o que ele chama de modelo Campbell soup, em que o número de rastreamento do produto em cada lata torna possível para o consumidor saber onde e quando a sopa foi preparada. “Isso não muda a qualidade, mas o fato de que vem de alguém conhecido ou não”, diz. “É uma maneira de se livrar dos ataques que acontecem no meio do caminho.”
Responsabilidade assinada
O orçamento fiscal do Departamento de Desefa dos EUA, para 2010, requer que ele identifique as vulnerabilidades em diferentes níveis da cadeia de suprimento para um grande número de programas de aquisição de TI. O órgão terá de priorizar tais vulnerabilidades e seus possíveis efeitos, criar recomendações de gerenciamento de risco e encontrar alguém que lidere o desenvolvimento de uma “estratégia integrada de gerenciamento de risco em cadeia de suprimento.”
Enquanto isso, a Iniciativa Virtual Nacional inclui um grupo trabalhando em padrões, outro no compartilhamento de vulnerabilidades em cadeia de suprimento e um terceiro em regras, presididos pelo departamento de defesa e pelo Departamento de Segurança Nacional dos EUA, com a participação do Instituto Nacional de Padronização e Tecnologia.
O governo norte-americano quer garantir que quando as agências forem comprar produtos, como sistemas de alto impacto, pensem sobre “as ameaças que podem vir com a cadeia de suprimento, como sistemas e softwares criados e entregues”, disse Marianne Swanson, especialista em TI na divisão de segurança de computação no Instituto Nacional de Padronização e Tecnologia, que irá participar do grupo que trabalha com a padronização.
O rascunho das diretrizes do instituto inclui elementos como estratégias de aquisição que requerem que os fornecedores realizem processos específicos de redução de riscos. Os departamentos de Defesa e Segurança Nacional dos EUA testam esses processos em um projeto piloto. Suas descobertas serão integradas em um relatório-rascunho no começo do próximo ano para conhecimento público. Esse documento identifica 32 práticas, como o uso de linguagem contratual que exige que os fornecedores informem às agências as identidades dos fornecedores e subfornecedores e os passos óbvios, como o foco nos componentes de TI mais críticos à segurança das cadeias de suprimento das agências.
Ainda é cedo pra dizer como serão as diretrizes finais, mas a apresentação online do instituto demonstra passos na segurança por todo o ciclo de vida tecnológico, desde a criação até a baixa. O protótipo da estratégia encoraja o uso de fornecedores confiáveis, acordos de nível de serviço relacionados à qualidade e à segurança durante o estágio de fabricação, verificando as atualizações do software, uso de canais de distribuição seguros e a destruição, também segura, de toda a mídia após o uso.
Assim que Departamento de Justiça e de Segurança interna terminarem seu projeto piloto, a Administração Geral de Serviços usará “incentivos de mercado” para garantir que a segurança se torne uma parte importante na criação de hardware e software e para encorajar o desenvolvimento de novas tecnologias de segurança e serviços de gerenciamento seguros. Esse processo começou no final do ano passado.
Confiança total
Uma forma como o Departamento de Justiça e a Agência de Segurança Nacional dos EUA estão lidando com esse problema é comissionando conjuntos de chips personalizados para os sistemas mais críticos. Apenas alguns fabricantes de chips, como a Intel, ainda fabricam seus chips 100% em casa. A maioria, hoje, é terceirizada e, no processo, perdem a noção sobre a segurança, algo que não pode ser aceito quando se trata de sistemas críticos. “Circuitos integrados que foram, maliciosamente, alterados não podem ser concertados”, escreveu o já aposentado General do Exército Wesley Clark na revista Foreign Affairs. “Elas são as células adormecidas supremas.”
O Departamento de Defesa exige que chips usados em sistemas críticos sejam fabricados e obtidos de empresas confiáveis e com sede dentro do território norte-americano. Em 2003, a Agência de Segurança Nacional se juntou ao Departamento de Justiça para criar o Trusted Access Program Office, também conhecido como Trusted Foundry. O programa permite rastrear chips por toda a cadeia de suprimento, de sua criação à entrega.
A agência e o departamento de Justiça têm um contrato de 10 anos com a IBM, até 2013, e trabalham com outros fabricantes de componentes em mais de doze fábricas nos EUA. No ano fiscal de 2008, o programa Trusted Foundry entregou mais de 21 mil partes e 340 chips criados para mais de 70 programas e contratos com dos órgãos, de acordo documentos oficiais.
As agências planejam gastar cerca de US$ 41 milhões, esse ano, para desenvolver os chips personalizados. No ano passado, a NSA gastou cerca de US$ 13 milhões apenas para criar parcerias e autorizar os fornecedores.
No ano fiscal 2010, as agências planejam redobrar os esforços do Trusted Foundry, desenvolvendo novas fontes ao longo da cadeia de suprimento, de acordo com documentos oficiais de orçamento. Sob requerimento do Congresso Nacional dos EUA, no orçamento de defesa desse ano, o Departamento de Justiça deve se unir à comunidade do serviço de informação, indústria privada e meio acadêmico para avaliar maneiras de verificar a autenticidade e a “confiança” dos chips que o órgão compra de fontes comerciais.
Conforme surgem novas evidências, os riscos e vulnerabilidades da TI em uma cadeia de suprimento mal gerenciada, desde equipamentos falsificados até malwares e outras formas de ataque, são reais e estão crescendo. Pode parecer irreal querer fechar, de ponta-a-ponta, a cadeia de suprimento de TI da suas empresas, mas os profissionais de TI não podem se dar ao luxo de ignorar esse problema e devem manter os olhos abertos e atentos aos fornecedores, parceiros e outros em sua cadeia de suprimento virtual, além de adotar as melhores práticas para diminuir os riscos em seus sistemas e processos.
Leia também:
