Si chiama “Strengthening American Cybersecurity Act” il nuovo pacchetto di leggi che il Senato americano ha approvato per rafforzare la sicurezza informatica negli Stati Uniti. Il passaggio successivo è in mano alla Camera degli Stati Uniti per ulteriori considerazioni.
Indice degli argomenti
Il cybersecurity act americano: tre leggi
Presentato dal Sen. Gary Peters, del Michigan, il Strengthening American Cybersecurity Act del 2022 si struttura in tre diversi disegni di legge: il Cyber Incident Reporting Act (CIRA), il Federal Information Security Management Act (FISMA) e il Federal Secure Cloud Improvement and Jobs Act (FSCIJA).
Cybersecurity, America is back? La nuova politica Usa, dagli slogan ai fatti
Il CIRA, Cyber Incident Reporting Act, è stato introdotto da Gary Peters e da Rob Portman, anche lui senatore americano, Presidente e Ranking Member della Homeland Security and Governmental Affairs Committee, ed è una legislazione bipartisan per richiedere ai proprietari e agli operatori di infrastrutture critiche di riferire alla Cybersecurity and Infrastructure Security Agency (CISA) se subiscono un attacco informatico, e alla maggior parte delle entità di riferire se effettuano un pagamento ransomware, una volta colpiti da attacchi informatici. Il disegno di legge crea anche un requisito per altre organizzazioni, comprese le organizzazioni non profit, le imprese con più di 50 dipendenti e i governi statali e locali, per notificare il governo federale entro 24 ore se fanno un pagamento di riscatto. La legislazione dirige le agenzie federali che sono notificate degli attacchi a fornire tali informazioni alla CISA e crea un Cybersecurity Incident Reporting Council per coordinare i requisiti di segnalazione federale. Il disegno di legge fornisce alla CISA l’autorità di citare in giudizio le entità che non riescono a segnalare incidenti di cybersecurity o pagamenti di ransomware.
Il FISMA, Federal Information Security Modernization Act del 2021, è la versione revisionata e aggiornata del Federal Information Security Modernization Act del 2014 per sostenere pratiche di cybersecurity più efficaci in tutto il governo federale e migliorare il coordinamento tra l’Office of Management and Budget (OMB), CISA, National Cyber Director, e altre agenzie federali e appaltatori quando si affrontano le minacce online. Il disegno di legge richiede alle agenzie civili di segnalare tutti i cyber-attacchi alla CISA e gli incidenti gravi al Congresso, e fornisce ulteriori autorità alla CISA per garantire che siano l’agenzia principale per rispondere agli incidenti e alle violazioni sulle reti federali civili.
Il FSCIJA, Federal Secure Cloud Improvement and Jobs Act, serve a favorire la diffusione di prodotti e servizi di cloud computing e guidare una più forte adozione di capacità di cloud sicuro, creare posti di lavoro e ridurre la dipendenza dalla tecnologia informatica legacy. Rende permanente e aggiorna il già esistente FedRAMP, Federal Risk and Authorization Management Program, per garantire che la tecnologia informatica basata sul cloud possa essere adottata rapidamente dal governo federale, assicurandone al contempo la sicurezza. La legge modernizza il processo con cui i prodotti cloud sono considerati sicuri e possono ricevere l’autorizzazione FedRAMP. La legislazione stabilisce anche delle metriche per assicurare la corretta implementazione di FedRAMP, e richiede la creazione di un comitato consultivo federale per il cloud sicuro per migliorare la comunicazione tra le agenzie federali che utilizzano le tecnologie cloud e le aziende che le forniscono.
Cosa chiede il nuovo Cybersecurity Act USA alle aziende
Il Cybersecurity Act americano prevede che le aziende coinvolte nelle infrastrutture critiche, in particolare energia e sanità, segnalino i cyberattacchi e i pagamenti di ransomware e che la segnalazione della violazione arrivi in 72 ore alla U.S. Cybersecurity and Infrastructure Security Agency (CISA), nel caso dei pagamenti di ransomware si hanno 24 ore di tempo.
Inoltre, le organizzazioni colpite sono tenute a preservare i dati rilevanti e a condividere prontamente gli aggiornamenti “a un rapporto su un incidente informatico coperto precedentemente presentato, se nuove o diverse informazioni sostanziali diventano disponibili o se l’entità coperta effettua un pagamento di riscatto dopo aver presentato un rapporto su un incidente informatico coperto”.
Risulta molto importante, per la frequenza e la dannosità dei cyberattacchi, un coordinamento rapido alla risposta agli stessi, come ha dichiarato il senatore degli Stati Uniti Rob Portman già lo scorso settembre 2021. Le sue parole: “Questo disegno di legge bipartisan darà […] un’ampia visibilità sui cyberattacchi che hanno luogo in tutta la nostra nazione su base giornaliera per consentire una risposta di tutto il governo, la mitigazione e l’avviso alle infrastrutture critiche e agli altri di attacchi in corso e imminenti.”
Il senatore Gary Peters, autore principale del nuovo Cybersecurity Act, ha ribadito anche che, come già dimostrato ampiamente in altri attacchi passati, uno tra tutti il caso della Colonial Pipeline, i cyberattacchi possono anche paralizzare l’economia di un paese, far balzare in alto i prezzi del carburante e minacciare le catene di approvvigionamento. Ed è quello che è successo proprio lo scorso maggio alla Colonial Pipeline, costretta a chiudere migliaia di condutture, con la conseguente crescita improvvisa dei prezzi e carenze di gas. Da lì un altro cyberattacco lo ha seguito su un importante produttore ci carne USA, altro servizio essenziale del paese. E, aggiunge lo stesso Peters, “Mentre la nostra nazione continua a sostenere l’Ucraina, dobbiamo prepararci per gli attacchi informatici di ritorsione da parte del governo russo”
