Gli attacchi cyber subiti dagli Stati Uniti nell’ultimo anno, e in particolare quelli rivolti contro le infrastrutture critiche, hanno spinto il Presidente Biden ad emanare una serie di ordini esecutivi, direttive e memorandum mirate a tentare di metterne in sicurezza i sistemi e coordinare gli sforzi delle varie agenzie governative interessate.
Attacchi quali quelli a Colonial Pipeline e JBS hanno, anche alla luce degli evidenti impatti sulla popolazione, contribuito ad accrescere l’attenzione sulla sicurezza informatica. I pochi giorni di blocco operativo necessari a far ripartire i sistemi degli oleodotti hanno, ad esempio, portato a scarsità di carburante per tutta la costa orientale con ovvie ricadute per via degli effetti domino conseguenti.
Indice degli argomenti
Il memorandum per la sicurezza delle infrastrutture critiche
L’ultimo atto presentato dalla Casa Bianca è un memorandum di sicurezza nazionale diretto a “migliorare la sicurezza cibernetica per i sistemi di controllo delle infrastrutture critiche. Il testo impegna in particolar modo la CISA (Cybersecurity and Infrastructure Security Agency) e il NIST (National Institute of Standards and Technology) a sviluppare e definire obiettivi di performance per le infrastrutture critiche.
Le entità interessate dal provvedimento, ovvero facenti parte della lista di operatori di servizi essenziali così come definiti dalla CISA, saranno quindi invitate a conformarsi agli standard che verranno sviluppati, rafforzando la propria sicurezza informatica e impedendo che possano di nuovo verificarsi interruzioni di servizio.
Nello specifico, il testo identifica i sistemi interessati come quelli che supportano le c.d. “funzioni critiche nazionali”, ovvero funzioni non solo governative, ma anche del settore privato, così importanti che la loro interruzione, corruzione o malfunzionamento avrebbe un effetto debilitante sulla sicurezza nazionale, economica o sanitaria.
La platea di destinatari è quindi senz’altro ampia e mira a ricondurre sotto un livello minimo di cyber sicurezza anche quegli enti che finora non erano stati sottoposti ad alcuna direttiva specifica.
USA e Cina, la cyber guerra si combatte tra oleodotti e supply chain: accuse e contromisure
Anche gli USA prendono spunto dalla direttiva NIS
Già lo scorso maggio, infatti, a seguito dell’attacco ransomware a Colonial Pipeline, la TSA (Transportation Security Administration) che fa capo al Dipartimento della Sicurezza Interna (DHS) aveva emanato una prima direttiva indirizzata ai proprietari e gestori di condotte critiche.
I soggetti interessati sono quindi tenuti a riportare alla CISA qualsiasi incidente di sicurezza informatica, confermato o potenziale, secondo un meccanismo che ricalca gli obblighi informativi previsti in ambito europeo dalla direttiva NIS.
Similmente, sono tenuti a riferire le lacune di sicurezza riscontrate e le misure di remediation adottate, nonché designare dei coordinatori di sicurezza informatica disponibili 24 ore su 24.
Una direttiva sulle misure di mitigazione
Lo scorso 20 luglio si è aggiunta una seconda direttiva emanata sempre da parte della TSA, questa volta più dettagliata e rivolta nello specifico alle misure di mitigazione.
La stessa agenzia nomina i ransomware come una delle principali minacce da cui dover difendersi, richiedendo l’implementazione di misure di mitigazione specifiche contro gli attacchi ai sistemi IT e OT, lo sviluppo e l’implementazione di piani di contingenza e recovery, nonché di rivedere la struttura dell’intera architettura di sicurezza cibernetica.
L’ordine esecutivo che ha acceso i riflettori sui rischi cyber
Oltre a questa normazione settoriale, bisogna ricordare l’ordine esecutivo che ha acceso i riflettori sui rischi informatici in seguito ai noti attacchi a SolarWinds e Microsoft Exchange e che ha una portata ben più ampia, con l’obiettivo generale di rafforzare le difese delle infrastrutture governative e migliorare lo scambio di informazioni.
L’ordine esecutivo prevede, infatti, oltre ad un generico scambio di informazioni in merito a minacce e incidenti tra provider di servizi, sia IT che OT, anche la creazione di un “Cyber Safety Review Board” che riunisca enti privati e federali per discutere di attacchi avvenuti, fornire raccomandazioni e condividere informazioni con le forze di polizia.
Per quanto riguarda nello specifico le agenzie federali e i sistemi governativi, sono richiamate misure di sicurezza specifiche quali l’architettura zero trust, l’autenticazione a due fattori, la cifratura completa dei dati e misure di sicurezza per il cloud, nonché l’implementazione di un sistema comune di Endpoint Detection and Response (EDR).
Applicando poi la lesson-learned relativa al caso SolarWinds, è previsto lo sviluppo di linee guida e strumenti per verificare la sicurezza della supply chain ed impedire così che attori malevoli possano modificare software critici.
Ransomware, la lezione del Governo USA: ecco i tasselli chiave di una nuova strategia
Incentivare lo scambio di informazioni
A dimostrazione della direzione intrapresa, la CISA ha appena annunciato un’ulteriore misura volta a rendere più efficiente lo scambio di informazioni relative a vulnerabilità che potrebbero essere sfruttate per attaccare i sistemi governativi.
La creazione di una piattaforma di Vulnerability Disclosure Policy (VDP) esclusiva per i sistemi civili federali permetterà, infatti, di raccogliere in un solo luogo e gestire a livello centralizzato tutte le segnalazioni relative a bug e vulnerabilità presenti su siti o sistemi governativi.
Oltre a semplificare l’attività di monitoraggio e ridurne i costi, esperti da tutto il mondo potranno presentare i loro report per la successiva valutazione da parte della piattaforma e l’eventuale disseminazione delle informazioni ricevute.
Questa profonda collaborazione tra enti pubblici e privati traspare anche da un’altra iniziativa promossa dal citato memorandum, ovvero l’iniziativa per l’Industrial Control System Cybersecurity (ICS). Tale iniziativa su base volontaria mira a spingere gli operatori di infrastrutture critiche del settore privato a collaborare pienamente con gli enti governativi per lo sviluppo e implementazione di tecnologie che permettano la rilevazione di minacce per i sistemi di controllo industriali, nonché incrementino le capacità di risposta.
La fruttuosa sperimentazione con gli operatori del settore elettrico continuerà col settore dei gasdotti e, in futuro, anche con quelli idrico e chimico.
Nato e cyber security, Russia e Cina sorvegliati speciali: nuovi scenari della guerra ibrida
Conclusioni
I contorni del piano statunitense per migliorare la sicurezza informatica vanno definendosi più chiaramente con ogni atto emanato, riconoscendo un ruolo di primo piano alla collaborazione fra enti, sia pubblici che privati, nonché a misure più stringenti per i settori critici, anche se spesso sotto forma di raccomandazioni da adottare su base volontaria.
