La Administración de Servicios Generales denegó la solicitud de un senador de revisar los documentos que Zoom envió para que su software sea aprobado para su uso en el gobierno federal.

La denegación fue en respuesta a una carta enviada por el senador demócrata Ron Wyden a la GSA en mayo, en la que expresaba su preocupación de que la agencia hubiera permitido que las agencias federales usaran Zoom solo unas semanas antes de que se descubriera en la aplicación una importante brecha de seguridad.

Wyden dijo que el descubrimiento del error plantea “serias dudas sobre la calidad de las auditorías de FedRAMP”.

Zoom recibió autorización para operar en el gobierno en abril de 2019 después de recibir su autorización FedRAMP, un programa administrado por GSA que garantiza que los servicios en la nube cumplan con un conjunto estandarizado de requisitos de seguridad diseñados para reforzar el servicio contra algunas de las amenazas más comunes. Sin este permiso, las agencias federales no pueden utilizar productos o tecnologías de nube no autorizados.

Meses después, Zoom se vio obligado a parchear su aplicación Mac después de que un investigador de seguridad descubrió una falla que podría explotarse para encender de forma remota la cámara web de un usuario sin su permiso. Apple se vio obligada a intervenir porque los usuarios aún se veían afectados por las vulnerabilidades incluso después de desinstalar Zoom. A medida que se extendió la pandemia y se aplicaron bloqueos, la popularidad de Zoom se disparó, al igual que el escrutinio, incluido un análisis técnico de los reporteros que reveló que Zoom no estaba realmente encriptado de un extremo a otro como la compañía ha afirmado durante mucho tiempo.

Wyden escribió a la GSA para decirle que le parecía “extremadamente preocupante” que los errores de seguridad fueran descubiertos después de la autorización de Zoom. En la carta, el senador solicitó los documentos conocidos como el “paquete de seguridad”, que Zoom presentó como parte del proceso de autorización de FedRAMP, para comprender cómo y por qué la aplicación fue autorizada por la GSA.

La GSA rechazó la primera solicitud de Wyden en julio de 2020 con el argumento de que no era presidente de un comité. En la nueva administración de Biden, Wyden fue nombrado presidente del comité de finanzas del Senado y nuevamente solicitó el paquete de seguridad de Zoom.

LEER  La aplicación de arte SketchAR para permitir que los artistas enumeren sus obras directamente en los mercados de NFT - TechCrunch

Pero en una nueva carta enviada a la oficina de Wyden a fines del mes pasado, la GSA rechazó la solicitud por segunda vez, citando preocupaciones de seguridad.

“La negativa de la GSA a compartir la auditoría de Zoom con el Congreso pone en duda la seguridad de otros productos de software que la GSA ha aprobado para uso federal”. Senador Ron Wyden (D-OR)

“El paquete de seguridad que solicitó contiene información patentada y confidencial, altamente sensible relacionada con la seguridad asociada con el producto Zoom for Government. La protección de esta información es fundamental para mantener la integridad de la oferta y todos los datos gubernamentales que aloja ”, decía la carta de GSA. “Según nuestra revisión, la GSA cree que la divulgación del paquete de seguridad de Zoom crearía importantes riesgos de seguridad. “

En respuesta a la carta de la GSA, Wyden le dijo a TechCrunch que le preocupaba que se hubiera aprobado otro software defectuoso para su uso en todo el gobierno.

“La intención del programa FedRAMP de la GSA es buena: eliminar el papeleo para que varias agencias federales no tengan que revisar la seguridad del mismo software. Pero es de vital importancia que la agencia que realiza la revisión lo haga a fondo ”, dijo Wyden. “Me preocupa que la auditoría gubernamental de Zoom pueda haber pasado por alto fallas graves de ciberseguridad que luego fueron descubiertas y expuestas por investigadores de seguridad. La negativa de la GSA a compartir la auditoría de Zoom con el Congreso pone en duda la seguridad de otros productos de software que la GSA ha aprobado para uso federal.

De las personas con las que hablamos que tienen conocimiento de primera mano del proceso FedRAMP, ya sea como empleado del gobierno o como empresa en proceso de certificación, FedRAMP ha sido descrita como una lista completa pero de ninguna manera exhaustiva. De verificaciones que las empresas debe realizar. cumplir para cumplir con los requisitos de seguridad del gobierno federal.

LEER  Disminuye el diferencial de precios para los ingenieros - TechCrunch

Otros dijeron que el proceso tenía sus límites y se beneficiaría de una reforma. Una persona familiarizada con el funcionamiento de FedRAMP dijo que el proceso no es una auditoría completa del código fuente de un producto, sino similar a una lista de verificación de las mejores prácticas y requisitos de cumplimiento. Gran parte se basa en la confianza del vendedor, dijo la persona, y lo describió como “un sistema de honor”. Otra persona dijo que el proceso de FedRAMP no puede detectar todos los errores, como lo demuestran los pasos que tomó el presidente Biden esta semana para modernizar y mejorar el proceso de FedRAMP.

La mayoría de las personas con las que hablamos no se sorprendieron de que a la oficina de Wyden se le negara la solicitud, citando la sensibilidad del paquete de seguridad FedRAMP de una empresa.

La gente ha dicho que las empresas que pasan por el proceso de certificación tienen que proporcionar detalles muy técnicos sobre la seguridad de su producto, que, si se expone, es casi seguro que perjudicaría a la empresa. Saber dónde podrían estar los agujeros de seguridad podría alertar a los ciberdelincuentes, dijo una de las personas. Las empresas a menudo gastan millones para mejorar su seguridad antes de una auditoría de FedRAMP, pero las empresas no se arriesgarían a pasar por la certificación si creyeran que se filtrarían sus secretos comerciales, agregaron.

Cuando la GSA le preguntó por qué se oponía a la solicitud de Wyden, Lauren Belive, responsable de relaciones con el gobierno estadounidense de Zoom, argumentó que entregar el paquete de seguridad “sentaría un precedente peligroso que socavaría la confianza especial” que las empresas depositan en el proceso FedRAMP.

GSA mantiene controles estrictos sobre quién puede acceder a un paquete de seguridad de FedRAMP. Necesita una dirección de correo electrónico del gobierno federal o militar, que está disponible para la oficina del senador. Mais la raison pour laquelle la GSA a refusé la demande de Wyden n’est toujours pas claire, et lorsqu’elle est contactée, un porte-parole de la GSA n’expliquera pas comment un membre du Congrès obtiendrait le package de sécurité FedRAMP d ‘una empresa.

LEER  La beta pública de MacOS Monterey está en vivo - TechCrunch

“La GSA valora su relación con el Congreso y continuará trabajando con el Senador Wyden y nuestros comités jurisdiccionales para brindar información apropiada sobre nuestros programas y operaciones”, dijo la portavoz de GSA, Christina Wilkes, y agregó:

“GSA trabaja en estrecha colaboración con socios del sector privado para proporcionar un enfoque estandarizado de autorizaciones de seguridad para servicios en la nube a través de la [FedRAMP]. El paquete de seguridad FedRAMP de Zoom y los documentos relacionados brindan información detallada sobre las medidas de seguridad asociadas con el producto Zoom para el gobierno. Es una práctica constante de la GSA con respecto a la información confidencial de seguridad y los secretos comerciales retener material en ausencia de una solicitud formal por escrito de un comité del Congreso correspondiente y de acuerdo con los controles de divulgación o la publicación posterior de la información.

La GSA no dijo qué comité del Congreso tenía jurisdicción o si el papel de Wyden como presidente del comité de finanzas del Senado es suficiente, y la agencia no respondió preguntas sobre la efectividad del proceso FedRAMP planteadas por Wyden.

Kelsey Knight, portavoz de Zoom, dijo que las empresas en la nube como Zoom “brindan información confidencial y de propiedad exclusiva a GSA como parte del proceso de autorización de FedRAMP con el entendimiento de que solo se utilizará para sus fines al tomar decisiones de autorización. Si bien no creemos que el paquete de seguridad FedRAMP de Zoom deba divulgarse fuera de este enfoque limitado, agradecemos las conversaciones con los legisladores y otras partes interesadas sobre la seguridad de Zoom para el gobierno. “

Zoom dijo que se ha “comprometido con las mejoras de seguridad para mejorar continuamente sus productos” y recibió la reautorización de FedRAMP en 2020 y 2021 como parte de su renovación anual. La compañía se negó a comentar sobre la medida en que la aplicación Zoom ha sido auditada como parte del proceso FedRAMP.

Más de dos docenas de agencias federales utilizan Zoom, incluido el Departamento de Defensa, Seguridad Nacional, Aduanas y Protección Fronteriza de EE. UU. Y la Oficina Ejecutiva del Presidente.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )