Lo spettro degli hacker russi e la delega totale alla cooperazione volontaria del settore privato per fronteggiare gli attacchi informatici hanno creato seri problemi nei sistemi di cybersicurezza. E’ il momento di intervenire a livello centrale
di Patrick Howell O’Neill
L’attacco hacker del 2021 del Colonial Pipeline, il più grande oleodotto di carburante degli Stati Uniti, si è concluso con migliaia di americani in preda al panico che accumulavano gas e una carenza di carburante lungo la costa orientale. L’azienda ha preso la decisione unilaterale di pagare un riscatto di 5 milioni di dollari e chiudere gran parte della fornitura di carburante della costa orientale senza consultare il governo degli Stati Uniti fino a quando il problema non si è risolto.
Ora alcuni dei massimi funzionari della sicurezza informatica degli Stati Uniti, incluso l’attuale direttore della cyber sicurezza della Casa Bianca, affermano che è giunto il momento per il governo di esercitare un ruolo maggiore e di introdurre una regolamentazione in modo che situazioni come quella di Colonial non si ripetano. Il cambio di rotta arriva proprio mentre la guerra in Ucraina e la crescente minaccia di nuovi attacchi informatici dalla Russia stanno costringendo la Casa Bianca a ripensare alla sicurezza nazionale.
“Siamo a un punto di svolta”, ha detto Chris Inglis, il cyber zar della Casa Bianca, a “MIT Technology Review” nella sua prima intervista dall’invasione russa dell’Ucraina. “Quando sono in gioco funzioni critiche che soddisfano i bisogni della società, alcune decisioni non sono discrezionali”.
La nuova strategia di sicurezza informatica della Casa Bianca prevede un più forte controllo governativo, standard minimi di sicurezza informatica, partnership più strette con il settore privato, un allontanamento dall’attuale approccio market-first e controlli più rigorosi. Il punti di riferimento normativo saranno il Clean Air Act e l’atto costitutivo della Food and Drug Administration.
Di fronte alle minacce incombenti degli hacker russi, la Federal Communications Commission sta affrontando la prospettiva che i russi dirottino il traffico internet, una tattica che hanno visto utilizzare da Mosca in passato. La nuova iniziativa della FCC , annunciata l’11 marzo, mira a indagare se le aziende di telecomunicazioni statunitensi stanno facendo abbastanza in questa direzione. Tuttavia, è un vero banco di prova per l’agenzia perché non ha il potere di costringere le aziende a conformarsi a queste regole.
Per molti funzionari, questa dipendenza quasi totale dalla buona volontà del mercato di mantenere i cittadini al sicuro non può continuare. “L’approccio puramente volontario alla sicurezza informatica semplicemente non ci ha portato dove dobbiamo essere, nonostante decenni di iniziative”, afferma Suzanne Spaulding, un alto ex funzionario della sicurezza informatica dell’amministrazione Obama. Fondamentalmente, gli alti funzionari della Casa Bianca concordano.
“Non è un segreto che le aziende non vogliono regole di sicurezza informatica rigorose”, afferma il senatore Ron Wyden, una delle voci più forti del congresso sulle questioni di sicurezza informatica e privacy. “È così che il nostro Paese è arrivato dove si trova sulla sicurezza informatica. Cambiare lo status quo non sarà facile, ma l’alternativa è lasciare che gli hacker provenienti da Russia e Cina e persino dalla Corea del Nord si scatenino in tutta l’America”.
Molti esperti, sia all’interno che all’esterno del governo, temono che una regolamentazione poco chiara possa fare più male che bene e alcuni funzionari nutrono dubbi sulla mancanza di competenze in materia di sicurezza informatica da parte delle autorità di regolamentazione. Per esempio, le recenti normative informatiche sui gasdotti dell’Amministrazione per la sicurezza dei trasporti hanno solo creato confusione a causa di quelle che secondo i critici sono regole inflessibili e imprecise. Secondo i detrattori, il regolatore dispone di un mandato troppo grande rispetto alle risorse necessarie per svolgere correttamente il lavoro.
Glenn Gerstell, che è stato consigliere generale presso l’Agenzia per la sicurezza nazionale fino al 2020, sostiene che l’attuale approccio frammentato non funziona e che gli Stati Uniti hanno bisogno di un’autorità centrale per la sicurezza informatica. Quanto successo nel caso del gasdotto segnala quanto potrebbe essere difficile ottenere questo risultato, ma lo status quo è insostenibile.
La legge di riferimento
L’incidente della Colonial Pipeline ha dimostrato ciò che molti esperti informatici già sanno: la maggior parte degli attacchi sono il risultato di hacker opportunisti che sfruttano problemi di vecchia data che le aziende non hanno risolto. “La buona notizia è che sappiamo come intervenire”, afferma Glenn Gerstell. “Possiamo garantire la sicurezza informatica. Può essere costoso e difficile, ma non è un problema tecnologico”.
Un altro importante attacco informatico recente conferma questa riflessione: SolarWinds, una campagna di hacking russa contro il governo degli Stati Uniti e le principali aziende americane, avrebbe potuto essere neutralizzata se le vittime avessero seguito gli standard ufficiali di sicurezza informatica. “C’è una tendenza a esaltare le capacità degli hacker responsabili di gravi incidenti di sicurezza informatica”, afferma Wyden. “ma spesso ci sono responsabilità di chi non è riuscito a tenere il passo con le patch o a configurare correttamente i propri firewall”.
È chiaro alla Casa Bianca che molte aziende non investiranno abbastanza nella sicurezza informatica da sole. Negli ultimi sei mesi, l’amministrazione ha emanato nuove regole di sicurezza informatica per banche, gasdotti, sistemi ferroviari, compagnie aeree e aeroporti. Biden ha firmato l’anno scorso un ordine esecutivo per rafforzare la sicurezza informatica federale e imporre questi standard a qualsiasi azienda che effettua vendite al governo. Cambiare il settore privato è sempre stato il compito più impegnativo e, probabilmente, il più importante. La stragrande maggioranza delle infrastrutture critiche e dei sistemi tecnologici appartiene al settore privato.
“Ci sono tre cose principali che sono necessarie per porre rimedio al problema della sicurezza informatica degli Stati Uniti”, afferma Wyden. “Standard minimi obbligatori di sicurezza informatica applicati dalle autorità di regolamentazione; audit di sicurezza informatica obbligatori, eseguiti da revisori indipendenti non selezionati dalle società che stanno verificando, con i risultati consegnati alle autorità di regolamentazione; multe salate, compreso il carcere per i dirigenti, in presenza di una violazione”.
Il nuovo regolamento obbligatorio sulla segnalazione degli incidenti, approvato in settimana, è un primo passo. La legge richiede alle aziende private di condividere rapidamente le informazioni sulle minacce condivise che mantenevano segrete. I precedenti tentativi di regolamentazione sono falliti, ma la nuova legge è stata sostenuta da giganti aziendali come Kevin Mandia, CEO di Mandiant e Brad Smith, il presidente di Microsoft. È un segno che i leader del settore privato ora vedono la regolamentazione come inevitabile e, in aree chiave, vantaggiosa.
Inglis sottolinea che l’elaborazione e l’applicazione di nuove regole richiederà una stretta collaborazione in ogni fase tra il governo e le aziende private. E anche dall’interno del settore privato, c’è accordo sulla necessità di un cambiamento. “Da molto tempo ci muoviamo in modo puramente volontario”, afferma Michael Daniel, che guida la Cyber Threat Alliance, un gruppo di aziende tecnologiche che condividono le informazioni sulle minacce informatiche per attivare una migliore difesa collettiva
Dall’altra parte dell’Atlantico
Dalla Casa Bianca, Inglis sostiene che gli Stati Uniti sono rimasti indietro rispetto ai loro alleati. Indica il National CyberSecurity Center (NCSC) del Regno Unito come un’agenzia governativa per la sicurezza informatica pionieristica da cui gli Stati Uniti devono imparare. Ciaran Martin, ex funzionario della sicurezza informatica del Regno Unito e ora amministratore delegato fondatore dell’NCSC, guarda con stupore all’approccio americano.
“Se un’azienda energetica britannica avesse fatto al governo britannico ciò che Colonial ha fatto al governo degli Stati Uniti, avremmo reagito ai massimi livelli”, afferma. Le normative informatiche del Regno Unito funzionano in modo che le banche siano resilienti allo shock finanziario globale e allo stress informatico. Inoltre, secondo Martin, il Regno Unito ha anche messo in campo una regolamentazione più rigorosa sulle telecomunicazioni in quanto una delle sue principali aziende è caduta in mano agli hacker russi.
In America, la situazione è diversa. I poteri della Federal Communications Commission, che sovrintende alle telecomunicazioni e alla banda larga negli Stati Uniti, sono stati notevolmente ridotti durante la presidenza Trump e si basano principalmente sulla cooperazione volontaria dei giganti di Internet. L’approccio del Regno Unito di affrontare settori specifici uno alla volta basandosi sui poteri di regolamentazione di cui dispongono già, invece di un’unica nuova legge centralizzata che copre tutto, è simile a come funzionerà la strategia della Casa Bianca di Biden sulla cybersicurezza.
Per Wyden, “le autorità di regolamentazione federali, su tutta la linea, hanno avuto paura di usare l’autorità che hanno o di chiedere al Congresso nuovi poteri per regolamentare le pratiche di sicurezza informatica del settore”. “Non c’è da stupirsi”, spiega, “che in così tanti settori il livello di sicurezza informatica sia a dir poco approssimativo. I regolatori hanno sostanzialmente lasciato che le aziende si autoregolamentassero”.
Le ragioni di un fallimento
Ci sono tre motivi fondamentali per cui il mercato della sicurezza informatica, che vale centinaia di miliardi di dollari e cresce a livello globale, non è all’altezza. In primo luogo, le aziende non hanno capito come la sicurezza informatica le faccia guadagnare, dice Daniel. Il mercato non riesce a misurare la sicurezza informatica e, soprattutto, spesso non riesce a collegarla ai profitti di un’azienda, che spesso non possono giustificare quanto spendono per garantirla.
Il secondo motivo è la segretezza. Le aziende non hanno dovuto segnalare gli hack, quindi i dati cruciali sugli attacchi informatici sono stati tenuti sotto chiave per proteggere le aziende da cattiva stampa, cause legali e interventi legislativi.
Il terzo è il problema della dimensione di scala. Il prezzo che il governo e le aziende hanno pagato per la vicenda Colonial è andato ben oltre quello sostenuto dall’azienda. Esattamente come per la questione dell’inquinamento, “i costi non si vedono sui profitti dell’azienda”, afferma Spaulding, quindi gli incentivi del mercato per risolvere questo tipo di problemi sono deboli.
I sostenitori della riforma affermano che un controllo più forte del governo può cambiare i termini dell’equazione. “Non ho mai visto prima unanimità e consapevolezza così vicine”, afferma Gerstell. “Il momento del cambiamento è imminente”. Inglis indica i quasi 2 miliardi di dollari in denaro per la sicurezza informatica del piano infrastrutturale di Biden da 1 trilione di dollari del 2021 come “un’opportunità unica in una generazione” per il governo per intensificare la sicurezza informatica e la privacy.
“Dobbiamo assicurarci di non trascurare le straordinarie opportunità che abbiamo di investire nella resilienza e nella solidità dell’infrastruttura digitale”, sostiene Inglis. “Dobbiamo chiederci, quali sono le funzioni sistematicamente critiche da cui dipende la nostra società?Le sole forze di mercato si occuperanno di questo?E quando ciò non è sufficiente, come determiniamo cosa dovremmo fare? Questo è il percorso che ci aspetta. Non deve essere un processo che dura anni. Possiamo farlo in tempi rapidi”.
(rp)