A agência de segurança cibernética do governo dos EUA, CISA, confirmou na segunda-feira a adição de Peiter ‘Mudge’ Zatko à sua lista de vozes proeminentes que pregam o evangelho dos princípios de desenvolvimento de segurança por design e segurança por padrão.
Zatko, mais recentemente o CISO do Twitter que denunciou as deficiências de segurança do gigante da mídia social, está ingressando na agência em tempo parcial para trabalhar no pilar “segurança e resiliência desde a concepção” da Estratégia Nacional de Segurança Cibernética da administração Biden.
Uma declaração da chefe da CISA, Jen Easterly, confirmou a adição de Mudge como Consultor Técnico Sênior para trabalhar na formação de uma cultura de segurança desde o projeto em todos os lugares.
“Mudge se junta a nós em tempo parcial para nos ajudar a moldar de forma colaborativa uma cultura de segurança desde o design que é fundamental para todas as equipes de segurança, todos os executivos e todas as salas de diretoria do país”, disse Easterly. A contratação de Zatko foi relatada pela primeira vez pelo Washington Post.
Zatko é um hacker famoso dos coletivos L0pht/cDc que é creditado por alguns dos primeiros trabalhos de pesquisa sobre vulnerabilidades de buffer overflow. Anteriormente, ele atuou como gerente do programa DARPA e criou o programa Cyber Fast Track, que fornecia recursos para hackers e espaços de hackers.
Zatko atuou como chefe de segurança do Twitter por dois anos antes de apresentar uma queixa de denúncia ao Congresso descrevendo “deficiências extremas e flagrantes” no tratamento das informações do usuário pelo Twitter e múltiplas violações dos regulamentos da SEC e da FTC.
Além de Zatko, a CISA contratou recentemente o ex-CISO Bob Lord do Yahoo e o pesquisador Jack Cable para evangelizar o pilar de segurança desde o design da Estratégia Nacional de Segurança Cibernética e do próprio Plano Estratégico da CISA.
O Plano de segurança desde a concepção da CISA apela aos fabricantes de tecnologia para que façam do Secure-by-Design e do Secure-by-Default os pontos focais dos processos de design e desenvolvimento de produtos.
“Seguro por design significa que os produtos tecnológicos são construídos de uma forma que protege razoavelmente contra atores cibernéticos mal-intencionados que obtêm acesso com sucesso a dispositivos, dados e infraestrutura conectada”, de acordo com o documento da CISA. “Os fabricantes de software devem realizar uma avaliação de risco para identificar e enumerar as ameaças cibernéticas predominantes aos sistemas críticos e, em seguida, incluir proteções nos modelos de produtos que levem em conta o cenário de ameaças cibernéticas em evolução.”
Ademais, a CISA está a promover um princípio “Seguro por defeito” que garante que os produtos sejam resilientes contra técnicas de exploração prevalecentes, desde o início, sem custos adicionais.
“Esses produtos protegem contra as ameaças e vulnerabilidades mais prevalentes sem que os usuários finais precisem tomar medidas adicionais para protegê-los. Os produtos Secure-by-Default são projetados para conscientizar os clientes de que, quando se desviam dos padrões seguros, aumentam a probabilidade de comprometimento, a menos que implementem controles de compensação adicionais”, disse a agência.