pixel_dreams - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

El Pentágono señala a proveedores de software riesgosos

El Pentágono ha elaborado una lista de proveedores de software que quiere que eviten los contratistas militares y de defensa de los EE.UU. por temor a los riesgos para la seguridad nacional.

El Departamento de Defensa de los Estados Unidos ha revelado que está distribuyendo una lista de proveedores extranjeros de software que quiere que el ejército y sus proveedores eviten.

La noticia se produce pocos días después de que un informe del gobierno de EE.UU. sobre ciberespionaje de China, Rusia e Irán advirtiera que las cadenas de suministro de software están siendo cada vez más atacadas.

Debido a "problemas específicos", el Pentágono está haciendo circular una lista de no comprar de software que no cumple con los "estándares de seguridad nacional", sin dar ningún detalle específico, informa el sitio de noticias Defense One.

"Lo que estamos haciendo es asegurarnos de no comprar un software que sea de procedencia rusa o china", dijo Ellen Lord, subsecretaria de defensa para adquisición y mantenimiento.

La lista, que se inició hace seis meses, tiene como objetivo dejar claro a todos los involucrados en la compra de software para uso militar y sus contratistas qué software tiene enlaces a Rusia y China porque esos enlaces no siempre son obvios debido al uso de varias compañías holding.

A principios de julio, un informe del gobierno del Reino Unido planteó preocupaciones sobre las deficiencias de los procesos de ingeniería en la firma china Huawei que podrían poner en riesgo las redes de telecomunicaciones del Reino Unido.

A pesar de encontrar que la capacidad del Centro de Evaluación de Seguridad Cibernética de Huawei (HCSEC) había mejorado en 2017 y que el trabajo técnico relevante para la estrategia global de mitigación puede realizarse a gran escala y con alta calidad, el informe dice que la Junta de Supervisión puede proporcionar "solo garantía limitada" que todos los riesgos para la seguridad nacional del Reino Unido derivados de la participación de Huawei en las redes críticas de este país se han mitigado lo suficiente.

El informe llega solo tres meses después de que el Centro Nacional de Seguridad Cibernética (NCSC) asesoró al sector de telecomunicaciones del Reino Unido para evitar el uso de equipos y servicios de ZTE en China.

Según los informes, el Pentágono está trabajando con la Asociación de Industrias Aeroespaciales de EE.UU., la Asociación Industrial de Defensa Nacional y el Consejo de Servicios Profesionales para alertar a todos los contratistas de la cadena de suministro militar sobre los proveedores de software identificados como riesgosos por el Pentágono y la comunidad de inteligencia estadounidense.

El recientemente publicado informe de Espionaje económico extranjero en el espacio cibernético del Centro Nacional de Contrainteligencia y Seguridad (NCSC) advirtió que la infiltración de la cadena de suministro de software ya ha amenazado el sector de infraestructura crítica y podría amenazar otros sectores también.

Esta infiltración, según el informe, se está realizando de diversas maneras, incluso mediante inversiones chinas en empresas tecnológicas estadounidenses que trabajan en inteligencia artificial, a través de servicios de inteligencia extranjeros que descubren vulnerabilidades para explotar mientras examinan el código fuente de firmas estadounidenses que solicitan exportar software a Rusia y China, y a través de operativos inyectando código malicioso en el software antes de la distribución.

El Departamento de Defensa de EE.UU. introdujo un conjunto de estándares para los proveedores de defensa que se suponía que se reunirían en enero pasado, pero se vio obligado a retroceder cuando los proveedores dijeron que no podrían cumplir con esos estándares.

Lord admitió ante los periodistas que el Pentágono había "suavizado" algunos de sus requisitos como resultado, pero dijo que esto tendría que cambiar y que los requisitos tendrían que aumentar en el futuro, y agregó que el Pentágono planeaba comenzar un "equipo rojo" proveedores de defensa pronto para poner a prueba su postura de seguridad cibernética.

En el Reino Unido, el Ministerio de Defensa continúa desarrollando una iniciativa conjunta con la industria destinada a elevar la postura de seguridad en toda la cadena de suministro de defensa del Reino Unido, con un enfoque cada vez mayor en las pequeñas y medianas empresas (PyMEs).

"La cadena de suministro del Ministerio de Defensa incluye una gran variedad de organizaciones como fabricantes de materiales, proveedores de infraestructura y fabricantes de productos, pero las amenazas cibernéticas a la cadena de suministro son reales y la Estrategia Nacional de Seguridad Cibernética reconoce eso", dijo Phil Blunden de la Sociedad de Protección de Ciberdefensa (DCPP) del Ministerio de Defensa en la Cumbre TIC del Sector Público de 2018 en Londres.

Johnathan Azaria, especialista en investigación de seguridad en Imperva, dijo que las noticias de la lista de "no comprar" del Pentágono no son sorprendentes cuando se considera que algún software fabricado en China fue enviado con malware listo para usar.

"La posible amenaza de dicho software va desde problemas de seguridad involuntarios que simplemente no se han parchado correctamente, hasta una puerta trasera de código duro que le otorgará acceso al mejor postor. Esperamos que las noticias de esta lista insten a los fabricantes a poner un mayor énfasis en la seguridad del producto", dijo.

Este artículo se actualizó por última vez en julio 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close