L'amministrazione Biden ha definito un nuovo Ordine Esecutivo sulla cyber security per migliorare la sicurezza informatica della Nazione.
L'attacco ransowmare a
Colonial Pipeline è stata la classica goccia che ha fatto traboccare il vaso. Arrivato a breve distanza dall'attacco alla supply chain di
Solar Winds e alla catena di attacchi ai danni di
Microsoft Exchange, questo evento potrebbe agire da spartiacque sulla gestione della cyber security a livello nazionale.
Il Presidente americano Joe Biden ha firmato un
Ordine Esecutivo (EO) sul miglioramento della sicurezza informatica a livello nazionale, che mira a tracciare un "nuovo corso per migliorare la sicurezza informatica della Nazione e proteggere le reti del Governo Federale". Si tratta di un progetto complesso e di vasta portata che promuove di fatto una serie di iniziative mirate a ridurre al minimo la frequenza e l'impatto di questo tipo di incidenti informatici. Tali iniziative sono principalmente sette.
I magnifici 7
Il primo passo promosso dall'amministrazione Biden è la rimozione degli
ostacoli alla condivisione delle informazioni sulle minacce informatiche tra Governo e settore privato. Come ampiamente noto quello della sicurezza informatica è stato a lungo un ambiente chiuso, in cui poco si condivide su attacchi, danni, compromissioni e altro. I dati sugli attacchi e i costi sono frutto di stime, perché molti non denunciano gli attacchi.
Questa omertà però impedisce di fare tesoro dell'esperienza altrui per prevenire attacchi successivi che sfruttano le stesse tattiche e tecniche. I ricercatori per la sicurezza sostengono da tempo che la collaborazione sia la chiave per combattere la criminalità informatica. Ora negli USA si va verso un modello in cui i fornitori di servizi IT potranno e dovranno condividere le informazioni sulle violazioni della sicurezza con il Governo Federale.
Il secondo passo è decisamente scontato:
modernizzare e implementare standard di sicurezza informatica più rigorosi nel Governo Federale. Molti attacchi sono altamente sofisticati, altri (come quello all'
acquedotto della Florida) sono semplici e altamente prevedibili. È necessario chiudere le numerose falle nella sicurezza adottando soluzioni di sicurezza moderne e avanzate.
Da una parte dev'essere valutato il passaggio a tecniche di autenticazione più sicure, come l'MFA o lo Zero Trust. Dall'altro occorre una normativa che obblighi all'installazione tempestiva delle patch. Non è ancora stato definito con certezza il primo anello della kill chain a Colonial Pipeline. Si è parlato della mancata installazione delle
patch per le falle critiche di Exchange, ma Microsoft e FireEye sembrano non esserne convinte. SarkSide in genere sfrutta vulnerabilità non corrette dei dispositivi di rete SonicWall e istanze TeamViewer. Le indagini forensi faranno chiarezza, ma è chiaro che non è più tollerabile che siano lasciate aperte falle note nei sistemi di gestione delle infrastrutture critiche.
Terzo passaggio è la
messa in sicurezza delle supply chain, inclusa la
definizione di standard di sicurezza di base per lo sviluppo di software venduto al Governo. È un passaggio molto complesso, che rischia di porre paletti che frenano lo sviluppo anziché favorirlo. Bisognerà capire quali normative saranno definite dal Dipartimento del Commercio.
Più politico che tecnico potrebbe essere poi il
comitato di revisione della sicurezza informatica. Dovrebbe essere
composto da esperti governativi e del settore privato, che a seguito dei gravi incidenti informatici si riuniscano per formulare raccomandazioni. Negli USA sarebbe una sorta di alter ego del National Transportation Safety Board (NTSB) per i trasporti.
Un altro punto di difficile attuazione è la creazione di un
playbook standard per rispondere agli incidenti. Una serie di vademecum con i passaggi standard da seguire, a livello di agenzie federali, a seguito di un attacco. L'idea è interessante, ma la versatilità e la resilienza del cybercrime porta di continuo alla creazione di nuovi attacchi.
È invece fattibile, e doveroso, un piano per
migliorare il rilevamento degli incidenti di sicurezza informatica sulle reti governative federali. Attuare
soluzioni di Endpoint Detection and Respose nel 2021 è il minimo che si possa fare per allestire un sistema di sicurezza al passo con i tempi. Si parla anche di migliorare la condivisione delle informazioni all'interno del Governo Federale.
Ultima delle sette idee dell'amministrazione Biden è
migliorare le funzionalità investigative. Anche qui l'idea è buona, ma se l'attuazione passa per la creazione di un "registro eventi di sicurezza informatica" circoscritto alle agenzie federali il successo potrebbe non essere garantito. Gli eventi recenti hanno dimostrato che volendo indebolire uno Stato i criminali informatici spesso attaccano le grosse aziende private piuttosto che le agenzie federali.
Si procede a passo spedito
Definiti i passaggi principali dell'EO, sono anche state messe nero su bianco le date per l'attuazione. Ci sono
46 scadenze per l'attuazione degli obiettivi. Un dato che dice tutto e niente. Bisognerà stabilire la suddivisione delle responsabilità fra il National Institute of Standards and Technology (NIST), il Federal Acquisition Regulation Council, FBI, NSA, CIA, eccetera. E il coinvolgimento degli esperti di sicurezza informatica.
Steve Kelley, president and general manager of Bitdefender Business Solutions Group, ha commentato l'Ordine Esecutivo come segue: "
L'ordine esecutivo emesso dall'amministrazione Biden riflette la terribile situazione in cui si trova il livello di preparazione degli Stati Uniti in materia di sicurezza informatica. Con l'attacco ransomware di questa settimana ai danni di un importante oleodotto che ha suscitato preoccupazione tra l’opinione pubblica, portando a carenze di carburante e influenzandone i prezzi, insieme agli attacchi alla supply chain dei fornitori di software molto pubblicizzati all'inizio di quest'anno, nazioni e imprese criminali sono stati in grado di causare gravi danni con minime ripercussioni per loro.
Crediamo che queste minacce possano essere sostanzialmente ridotte da una cooperazione più stretta tra il settore privato e le agenzie governative e il contenuto molto specifico nel nuovo Ordine Esecutivo del Presidente è un grande passo nella giusta direzione. L'industria della cybersecurity ha già collaborato con le agenzie governative per sconfiggere i grandi botnet, i mercati illegali e ha permesso diversi arresti di alto profilo grazie ad azioni congiunte su un obiettivo comune e la condivisione di risorse e intelligence. Questo Executive Order estenderà efficacemente questa cooperazione a più aree di cyber sicurezza per garantire una maggiore resilienza informatica attraverso la prevenzione delle minacce, il rilevamento, la risposta e una serie di nuovi standard di cyber sicurezza utilizzando regole ben stabilite e le migliori procedure".