La Administración de Servicios Generales ha denegado la solicitud de un senador de revisar los documentos que Zoom presentó para que su software sea aprobado para su uso en el gobierno federal.
La negación fue en respuesta a una carta enviada por el senador demócrata Ron Wyden a la GSA en mayo, en la que expresaba su preocupación de que la agencia autorizara a Zoom para que lo usaran las agencias federales solo unas semanas antes de que se descubriera una vulnerabilidad de seguridad importante en la aplicación.
Wyden dijo que el descubrimiento del error plantea “serias dudas sobre la calidad de las auditorías de FedRAMP”.
Zoom fue aprobado para operar en el gobierno en abril de 2019 después de recibir su autorización FedRAMP, un programa operado por la GSA que garantiza que los servicios en la nube cumplan con un conjunto estandarizado de requisitos de seguridad diseñados para fortalecer el servicio frente a algunas de las amenazas más comunes. Sin esta autorización, las agencias federales no pueden utilizar productos o tecnologías en la nube que no estén autorizados.
Meses después, Zoom se vio obligado a parchear su aplicación Mac después de que un investigador de seguridad encontró una falla que podría abusarse para encender de forma remota la cámara web de un usuario sin su permiso. Apple se vio obligada a intervenir ya que los usuarios aún se veían afectados por las vulnerabilidades incluso después de desinstalar Zoom. A medida que la pandemia se extendió y se hicieron cumplir los bloqueos, la popularidad de Zoom se disparó, al igual que el escrutinio, incluido un análisis técnico de los reporteros que encontró que Zoom no estaba realmente encriptado de un extremo a otro como la compañía afirmó durante mucho tiempo.
Wyden escribió a la GSA para decirle que le parecía “extremadamente preocupante” que los errores de seguridad fueran descubiertos después de la autorización de Zoom. En la carta, el senador solicitó los documentos conocidos como el “paquete de seguridad”, que Zoom presentó como parte del proceso de autorización de FedRAMP, para comprender cómo y por qué GSA autorizó la aplicación.
La GSA rechazó la primera solicitud de Wyden en julio de 2020 con el argumento de que no era presidente de un comité. En la nueva administración de Biden, Wyden fue nombrado presidente del Comité de Finanzas del Senado y volvió a solicitar el paquete de seguridad de Zoom.
Pero en una nueva carta enviada a la oficina de Wyden a fines del mes pasado, GSA rechazó la solicitud por segunda vez, citando preocupaciones de seguridad.
“La negativa de GSA a compartir la auditoría de Zoom con el Congreso pone en duda la seguridad de los otros productos de software que GSA ha aprobado para uso federal”. Senador Ron Wyden (D-OR)
“El paquete de seguridad que ha solicitado contiene información de propiedad muy sensible y otra información confidencial relacionada con la seguridad asociada con el producto Zoom for Government. Proteger esta información es fundamental para mantener la integridad de la oferta y cualquier dato gubernamental que aloje ”, decía la carta de GSA. “Según nuestra revisión, GSA cree que la divulgación del paquete de seguridad de Zoom crearía importantes riesgos de seguridad”.
En respuesta a la carta de la GSA, Wyden le dijo a TechCrunch que le preocupaba que otro software defectuoso pudiera haber sido aprobado para su uso en todo el gobierno.
“La intención del programa FedRAMP de GSA es buena: eliminar la burocracia para que varias agencias federales no tengan que revisar la seguridad del mismo software. Pero es de vital importancia que cualquier agencia que lleve a cabo la revisión lo haga a fondo ”, dijo Wyden. “Me preocupa que la auditoría del gobierno de Zoom no haya detectado fallas graves de ciberseguridad que posteriormente fueron descubiertas y expuestas por investigadores de seguridad. La negativa de GSA a compartir la auditoría de Zoom con el Congreso pone en duda la seguridad de los otros productos de software que GSA ha aprobado para uso federal “.
De las personas con las que hablamos que tienen conocimiento de primera mano del proceso de FedRAMP, ya sea como empleado del gobierno o como empresa que pasa por la certificación, FedRAMP se describió como una lista completa, pero de ninguna manera exhaustiva, de controles que las empresas deben realizar. cumplir con el fin de cumplir con los requisitos de seguridad del gobierno federal.
Otros dijeron que el proceso tenía sus límites y se beneficiaría de una reforma. Una persona con conocimiento de cómo funciona FedRAMP dijo que el proceso no era una auditoría completa del código fuente de un producto, sino similar a una lista de verificación de las mejores prácticas y el cumplimiento de los requisitos de cumplimiento. Gran parte se basa en confiar en el proveedor, dijo la persona, describiéndolo como “un sistema de honor”. Otra persona dijo que el proceso de FedRAMP no puede detectar todos los errores, como lo demuestra la acción ejecutiva tomada por el presidente Biden esta semana con el objetivo de modernizar y mejorar el proceso de FedRAMP.
La mayoría de las personas con las que hablamos no se sorprendieron de que a la oficina de Wyden se le negara la solicitud, citando la sensibilidad del paquete de seguridad FedRAMP de una empresa.
La gente dijo que las empresas que atraviesan el proceso de certificación deben proporcionar detalles altamente técnicos sobre la seguridad de su producto, que si se expone, es casi seguro que dañaría a la empresa. Saber dónde podrían estar las debilidades de seguridad podría alertar a los ciberdelincuentes, dijo una de las personas. Las empresas a menudo gastan millones en mejorar su seguridad antes de una auditoría de FedRAMP, pero las empresas no se arriesgarían a pasar por la certificación si pensaran que sus secretos comerciales se filtrarían, agregaron.
Cuando GSA le preguntó por qué objetaba la solicitud de Wyden, la jefa de relaciones gubernamentales de EE. UU. De Zoom, Lauren Belive, argumentó que entregar el paquete de seguridad “sentaría un precedente peligroso que socavaría la confianza especial” que las empresas depositan en el proceso FedRAMP.
GSA pone controles estrictos sobre quién puede acceder a un paquete de seguridad de FedRAMP. Necesita una dirección de correo electrónico del gobierno federal o militar, que tiene la oficina del senador. Pero la razón por la que GSA denegó la solicitud de Wyden aún no está clara, y cuando se le comunicó, un portavoz de la GSA no explicó cómo un miembro del Congreso obtendría el paquete de seguridad FedRAMP de una empresa.
“GSA valora su relación con el Congreso y continuará trabajando con el Senador Wyden y nuestros comités de jurisdicción para brindar información apropiada sobre nuestros programas y operaciones”, dijo la portavoz de GSA, Christina Wilkes, y agregó:
“GSA trabaja en estrecha colaboración con socios del sector privado para proporcionar un enfoque estandarizado de las autorizaciones de seguridad para los servicios en la nube a través de [FedRAMP]. El paquete de seguridad FedRAMP de Zoom y los documentos relacionados proporcionan información detallada sobre las medidas de seguridad asociadas con el producto Zoom for Government. La práctica constante de GSA con respecto a la seguridad confidencial y la información secreta comercial es retener el material en ausencia de una solicitud oficial por escrito de un comité del Congreso con jurisdicción, y de conformidad con los controles sobre la divulgación o publicación de la información “.
GSA no dijo qué comité del Congreso tenía jurisdicción o si el papel de Wyden como presidente del Comité de Finanzas del Senado es suficiente, ni la agencia respondería preguntas sobre la eficacia del proceso FedRAMP planteadas por Wyden.
Kelsey Knight, portavoz de Zoom, dijo que las empresas en la nube como Zoom “proporcionan información confidencial y patentada a GSA como parte del proceso de autorización de FedRAMP con el entendimiento de que se utilizará únicamente para su uso en la toma de decisiones de autorización. Si bien no creemos que el paquete de seguridad FedRAMP de Zoom deba divulgarse fuera de este propósito limitado, agradecemos las conversaciones con los legisladores y otras partes interesadas sobre la seguridad de Zoom para el gobierno “.
Zoom dijo que se ha “involucrado en mejoras de seguridad para mejorar continuamente sus productos” y recibió la reautorización de FedRAMP en 2020 y 2021 como parte de su renovación anual. La compañía se negó a decir en qué medida se auditó la aplicación Zoom como parte del proceso de FedRAMP.
Más de dos docenas de agencias federales utilizan Zoom, incluido el Departamento de Defensa, Seguridad Nacional, Aduanas y Protección Fronteriza de EE. UU. Y la Oficina Ejecutiva del Presidente.
Source link