Biden ha pubblicato il 2 marzo la nuova strategia di sicurezza cibernetica USA (National cybersecurity strategy) che si basa su due visioni strategiche: ribilanciamento delle responsabilità nel difendere il cyber space e riallineamento degli incentivi per favorire investimenti a lungo termine.
Entrambi i punti, già nel titolo, esprimono una volontà di differenziarsi dal passato e dare una impronta decisamente nuova nell’approccio alla cyber security da parte degli Stati Uniti.
Indice degli argomenti
USA, i pilastri della nuova strategia cyber
La nuova strategia cyber USA è basata su cinque pilastri.
Difesa delle infrastrutture critiche
Il primo riguarda la difesa delle infrastrutture critiche. Intanto si parla di difesa e non di protezione.
Al suo interno, il primo obiettivo strategico è “stabilire i requisiti di cyber security per supportare la security nazionale e safety pubblica”. Nuove regole che siano sostenibili, controllate, applicate. Si enfatizza la collaborazione tra il settore pubblico il settore privato anche in ambito normativo e in generale norme che supportino la collaborazione tra i vari attori.
Il secondo obiettivo strategico è “scalare la collaborazione pubblico-privato”: si introduce la collaborazione machine to machine sopra quella tra persone. Si enfatizza poi lo scambio e il coordinamento tra CISA (Cybersecurity and Infrastructures Security Agency, Agenzia per la sicurezza cibernetica e delle infrastrutture critiche) e SRMAs (Sector Risk Management Agencies, le agenzie settoriali per l’analisi del rischio).
Terzo obiettivo strategico: “Integrare i Centri Federali di cybersecurity”. Gli Stati Uniti, come spesso accade, hanno una proliferazione di agenzie federali per i vari compiti e in questa sede auspicano un ragionevole coordinamento tra tutte, sia civili che militari.
A questo si aggiunge il quarto obiettivo strategico, “Aggiornare i piani e i processi di risposta federali”. Ancora una volta con l’esplicito auspicio a una reazione e a un supporto alla reazione degli operatori privati che siano coordinati, uniti, una risposta dell’intero Governo Federale.
Con il quinto obiettivo strategico, “Modernizzare le difese federali”, si invitano le istituzioni federali a prendere iniziative collettive di cyber security più attuali e, ancora una volta, coordinate, sia in ambito IT che in ambito OT.
Contrasto più efficace agli attori delle minacce
Il secondo pilastro si esprime su “Smantellare e distruggere gli attori della minaccia”. Primo obiettivo strategico di questo pilastro è “Integrare le attività di disruption a livello federale”, ossia lavorare a livello coordinato e federale per rendere meno appetibili le attività in dominio cyber per attori criminali e statuali.
Secondo obiettivo strategico è “Aumentare la collaborazione operativa tra pubblico e privato per distruggere gli avversari”. Si riconosce una migliore capacità di visione da parte del settore privato a discapito di quello pubblico e pertanto si invitano gli attori privati a consorziarsi in organizzazioni no profit per la sicurezza. Una versione enhanced degli ISAC, Centri di condivisione e analisi delle informazioni ormai esistenti nel settore privato USA da venti anni.
Il terzo obiettivo strategico riguarda “L’aumento della velocità e della scala della condivisione di intelligence cyber e di notifica delle vittime”.
Il quarto riguarda “la Prevenzione dell’abuso di infrastrutture US based”. Entrambi nascono da una percezione aumentata di vulnerabilità, collegata alla ormai consolidata e disperante certezza di non avere mai una visione completa del fenomeno della non-sicurezza a causa dei comportamenti reputazionalmente chiusi delle vittime.
Chiude il quinto obiettivo: “Contrastare il crimine e sconfiggere il ransomware”. Come dire in quattro termini una mission che tutti condividiamo, ma che non abbiamo capito come articolare completamente.
La cyber security deve diventare un vantaggio
Il terzo pilastro riguarda “La configurazione delle forze del mercato per guidare la sicurezza e la resilienza”. Guidare la sicurezza e la resilienza significa acquisire parte attiva, lavorare ai vantaggi competitivi, rovesciare la sicurezza da un obbligo a un vantaggio.
Il primo obiettivo strategico riguarda “Mantenere i detentori dei dati sotto controllo”, un auspicio che tutti condividono e che gli OTP, Over the Top, non sembrano minimamente cogliere.
Il secondo obiettivo riguarda “Guidare lo sviluppo dei dispositivi IoT”. La microtecnologia dell’internet of things e dell’OT, Operation Technology, sarà il nostro buco logico della sicurezza nel futuro.
Il terzo obiettivo riguarda lo shift della responsabilità di prodotti software e servizi non sicuri”: si invoca la possibilità di istituire leggi per rendere chiara la responsabilità della non sicurezza anche su software e servizi. Non si fa cenno analogo sui prodotti, cosa sulla quale dovremmo a lungo riflettere noi europei che sulla certificazione di prodotto abbiamo basato la politica di autonomia digitale europea.
Quarto obiettivo: “Usare incentivi federali e altre forme di investimento per costruire sicurezza”, quinto obiettivo: “Spingere il procurement federale ad aumentare le leve di responsabilità”, sesto obiettivo “Esplorare percorsi di assicurazione cyber federale”.
Tutti obiettivi legati alla “giusta” spesa di fondi per aumentare la sicurezza in modo coordinato e consapevole.
Investire in un futuro resiliente
Quarto pilastro “Investire in un futuro resiliente”. Era naturale che si andasse alle conclusioni parlando di un futuro che deve essere ottimista.
Primo obiettivo “Mettere in sicurezza le fondamenta tecniche di internet”. Internet è diventato di per se una infrastruttura critica e finalmente lo si guarda come tale, ma dovremo fare i conti con l’assenza di un punto di responsabilità identificabile.
Secondo obiettivo “Rinvigorire la ricerca federale e lo sviluppo in cyber security”. Si sente subito la pesantezza di una visione dell’ultimo decennio non sempre oculata in temi di sicurezza e si percepisce ancora una volta la incredibile difficoltà di manovrare una macchina altamente complessa come un Governo Federale in una situazione digitalizzata, delocalizzata e de responsabilizzata come quella attualmente in vigore, di fatto, a causa della informatizzazione globale.
Terzo obiettivo: “Prepararsi per il futuro post quantico” e quarto obiettivo “Mettere in sicurezza il nostro futuro a clean energy”. Obiettivi doverosi, di stampo contemporaneo.
Quinto obiettivo “Supportare lo sviluppo di un ecosistema di identità digitale”. Un approccio finalmente consapevole alla realtà che ci sta per investire come una valanga: l’identità digitale che sopravanza quella fisica e finisce per rovesciarla.
Sesto obiettivo: “Sviluppare una strategia nazionale per rinforzare la forza lavoro cyber”. Un obiettivo non solo condiviso, ma urgente per tutti. Quali spunti? Gli stessi che esprimiamo anche noi da tempo: igiene cibernetica, figure professionali anche non laureate, diffusione della cultura.
Più cooperazione internazionale e obiettivi condivisi
Quinto, ma non ultimo, pilastro “Indurre i partner internazionali a perseguire obiettivi condivisi”.
Primo obiettivo “Costruire coalizioni per contrastare la minaccia all’ecosistema cyber”. Riconosciamo la visione USA da alleato capace di generare trend e movimenti geopolitici di interesse comune.
Secondo obiettivo “Rinforzare la capacità dei partner internazionali”, terzo obiettivo “Espandere la capacità di assistere gli alleati e i partner”, quarto obiettivo “Costruire coalizioni per rinforzare le norme globali di comportamento degli Stati”, quinto obiettivo: “assicurare catene di fornitura sicure globalmente soprattutto per i settori ICT”.
Conclusioni
Analizzando i punti cardine della nuova strategia USA per la cyber sicurezza colpisce, prima di tutto, la consapevolezza profonda che solo tutti insieme potremo raggiungere livelli alti di sicurezza e protezione. Questa nuova frontiera potremo raggiungerla solo in squadra.
Ora osserveremo la capacità USA di realizzare quanto espresso in questa strategia che appare lucida, consapevole, completa.
E vedremo anche la capacità di apprendere da esempi come questo anche nelle attività europee.
