Oltre sessanta compagnie del settore privato, tra le quali Google, Microsoft, IBM e Amazon Web Services, si impegnano pubblicamente a fare della cybersecurity una componente fondamentale del loro processo di progettazione tecnologica.
In un’epoca caratterizzata da crescenti minacce informatiche, un’importante gruppo di aziende del settore tecnologico si impegna a orientarsi verso una maggiore enfasi sulla sicurezza digitale. Tra queste vi sono colossi come Google, Microsoft, IBM e Amazon Web Services. Questo impegno è stato formalmente sottoscritto durante un evento della RSA Conference ospitato dalla Cybersecurity and Infrastructure Security Agency (CISA).
La CISA ha condotto una massiccia campagna pubblica per sollecitare le aziende tecnologiche ad aumentare i propri sforzi verso la creazione di prodotti più robusti in termini di sicurezza. Durante l’ultimo decennio, infatti, attori malintenzionati sono stati in grado di sfruttare vulnerabilità di software, hardware e prodotti con funzioni di sicurezza non attive di default o vendute come funzionalità premium.
“C’è un’urgenza reale che tutti qui presenti non solo sentono, ma della quale sono altamente consapevoli. Riguarda lo sviluppo di nuove tecnologie e la rielaborazione di quelle più vecchie, considerando la sicurezza come un aspetto fondamentale”, ha detto Jen Easterly, direttore del CISA.
Oltre alle grandi aziende tecnologiche, decine di importanti aziende di software, hardware e cybersecurity si sono impegnate in questa promessa. Tra queste ci sono Palo Alto Networks, Lenovo, BlackBerry, Hewlett Packard, GitHub, Ivanti e CrowdStrike.
I firmatari si impegnano nel corso del prossimo anno a intraprendere una serie di azioni volute a ridurre la vulnerabilità dei loro prodotti. Queste azioni includono l’introduzione di autenticazione multifattoriale di default e altre forme di protezioni contro il phishing, e la riduzione dell’utilizzo di password di default o codificate.
Inoltre, le aziende si sono impegnate a essere più trasparenti riguardo all’esposizione delle vulnerabilità di sicurezza tramite canali ufficiali, pubblicando politiche di divulgazione di vulnerabilità per assistere i ricercatori di sicurezza di terze parti nei loro test sui loro sistemi e aumentare le capacità di logging per aiutare i clienti a individuare meglio possibili violazioni.
L’iniziativa è volontaria, il che ha portato a un certo scetticismo riguardo a quanto le aziende saranno effettivamente disposte ad attuarne i principi. Tuttavia, gli ufficiali della CISA hanno dichiarato di essere decisi a misurare i progressi dei firmatari rispetto agli impegni chiave nel corso del prossimo anno.
“Prima di poter costruire un’auto più sicura, dovevamo credere nell’idea di un’auto più sicura. Ecco cosa stiamo chiedendo con la tecnologia”, ha affermato Lauren Zabierek, consulente senior di politica di cybersecurity presso la CISA.