Nei giorni dell’attacco ransomware a Colonial Pipeline, è diventato chiaro che le infrastrutture critiche su cui si basa l’economia delle nazioni e la stessa sopravvivenza della popolazione sono diventate eccessivamente vulnerabili a minacce di tipo cyber.
L’America delle grandi Corporation, dell’industria tecnologica più avanzata al mondo, da cui è partita la stessa Rivoluzione digitale che sta cambiando il mondo, ha preso finalmente atto di una situazione insostenibile. Lo hanno dimostrato gli ultimi eventi, dall’attacco SolarWinds, che ha impattato 18mila organizzazioni nel mondo, alle vulnerabilità zero day di Microsoft Exchange, fino all’attacco ransomware all’oleodotto di Colonial Pipeline.
Le immagini di questi giorni – le condutture lunghe 8.850 chilometri ferme per 6 giorni a causa di un ransomware (con un riscatto di 5 milioni di dollari che è anche stato pagato …) – potrebbero ricordarci in futuro il momento in cui il Governo USA decise una rapida svolta in tema di cybersecurity. Leggendo infatti l’Executive Order emanato dal Presidente Joe Biden lo scorso 12 maggio 2021 (solo 5 giorni dopo l’attacco a Colonial Pipeline) si nota sia l’urgenza di apportare misure e approcci diversi, a tutti i livelli, sia la portata delle stesse misure, i nuovi investimenti richiesti e il notevole sforzo per modernizzare la difesa cyber delle infrastrutture nazionali americane, in risposta a quella che è diventata una vera emergenza, una pandemia da ransomware.
#1 – Collaborazione Pubblico Privato
The United States faces persistent and increasingly sophisticated malicious cyber campaigns that threaten the public sector, the private sector, and ultimately the American people’s security and privacy. …. cybersecurity requires more than government action. Protecting our Nation from malicious cyber actors requires the Federal Government to partner with the private sector. The private sector must adapt to the continuously changing threat environment, ensure its products are built and operate securely, and partner with the Federal Government to foster a more secure cyberspace.
La prima considerazione è che serve oggi una un’efficace e reale cooperazione tra pubblico e privato. Bisogna allineare sforzi organizzativi, tecnici e finanziari.
#2 – Best Practice a livello federale
Inoltre le agenzie governative dovranno d’ora in avanti dare il buon esempio, come riporta la sezione 1 (Section 1. Policy):
The Federal Government must bring to bear the full scope of its authorities and resources to protect and secure its computer systems, whether they are cloud-based, on-premises, or hybrid. The scope of protection and security must include systems that process data (information technology (IT)) and those that run the vital machinery that ensures our safety (operational technology (OT)).
Il riferimento alla protezione dei servizi “cloud” non è casuale. La tecnologia sta evolvendo molto rapidamente, la sicurezza deve tenere il passo. E questo vale anche per tutto il mondo OT (operational technology) che proprio con l’attacco all’oleodotto di Colonial Pipeline è emerso in modo inquietante. Ma da anni sono note le debolezze di questi sistemi e tutti i problemi connessi alla loro messa in sicurezza.
#3 – I fornitori di servizi ICT devono essere in grado di condividere le informazioni con il Governo
L’Executive Order parla di eliminare velocemente le barriere che, a livello contrattuale, impediscono tuttora un passaggio immediato di informazioni tra vendor IT (pensiamo ai cloud provider) e i loro clienti (Sec. 2. Removing Barriers to Sharing Threat Information). Dati su minacce, incidenti, rischi IT, che invece sono oggi fondamentali per migliorare la gestione di incidenti, la prevenzione, la risposta.
Tutte le agenzie federali saranno quindi costrette a rivedere i propri contratti di acquisto di sistemi IT e OT per tener conto delle esigenze legate alla sicurezza di questi sistemi.
#4 – Modernizzare la cybersecurity
È risaputo che modelli di sicurezza obsoleti e dati non cifrati hanno portato alla profonda compromissione dei sistemi informatici “più delicati” nei settori pubblico e privato. L’ordine di Biden impone quindi al Governo federale di adottare una sicurezza allo stato dell’arte (Sec. 3. Modernizing Federal Government Cybersecurity). Ossia, avanzare nei confronti di una Zero Trust Architecture. In questo ordine esecutivo, l’amministrazione Biden impone quindi il noto Framework di sicurezza ZeroTrust allo scopo di impedire ulteriori disastri informatici. Per chi non lo conosce già, Zero Trust è un approccio molto stringente per cui non bisogna mai fidarsi di nessuno, verificare sempre prima di aprire un accesso. Poi, l’ordine esecutivo raccomanda di passare più rapidamente a servizi cloud sicuri (sia SaaS, sia IaaS e PaaS); centralizzare e rendere fruibili i dati relativi a eventi di cybersecurity per facilitare attività analitiche, identificazione e gestione di rischi cyber; investire in modo prioritario su tecnologie e competenze delle persone per modernizzare la difesa cyber. Entro 60 giorni dalla pubblicazione dell’ordine, le agenzie sono chiamate a rivedere le proprie politiche. Inoltre, entro 90 giorni, sarà realizzata una strategia di cloud security con raccomandazioni alle agenzie per adeguarsi.
#5 – Migliorare la sicurezza per le forniture di software
Eventi recenti come SolarWinds hanno dimostrato la necessità di incrementare la sicurezza del software commerciale. Servono meccanismi rigorosi e predicibili per assicurare a chi acquista un software che il prodotto sarà sicuro (Sec. 4. Enhancing Software Supply Chain Security).
Entro 30 giorni, si chiede a vari attori (Secretary of Commerce, NIST, settore privato, accademia) di collaborare in modo da identificare gli standard esistenti (o ancora da sviluppare), best practice e procedure opportune, per arrivare allo scopo di essere in grado di valutare la sicurezza del software commerciale. In modo da aiutare sia i team di sicurezza delle aziende, sia le stesse terze parti, a conformarsi (anche tramite strumenti innovativi) a queste esigenze.
#6 – Misure organizzative per la risposta cyber
Infine, alcune misure organizzative, come un Cyber Safety Review Board costantemente attivo su questi temi, e la definizione di un Playbook per organizzare in anticipo la risposta cyber (Sec. 5. Establishing a Cyber Safety Review Board e Sec. 6. Standardizing the Federal Government’s Playbook for Responding to Cybersecurity Vulnerabilities and Incidents).
Ulteriori aspetti sono quelli legati alle attività di “detection”, ovvero quelle mirate a rilevare le situazioni di crisi, a circoscrivere gli incidenti, a prevedere operazioni dannose che possono compromettere le Reti pubbliche e private (Sec. 7. Improving Detection of Cybersecurity Vulnerabilities and Incidents on Federal Government Networks e Sec. 8. Improving the Federal Government’s Investigative and Remediation Capabilities).
In sostanza, l’Ordine Esecutivo di Biden dello scorso 12 maggio 2021 si configura come un nuovo Framework da seguire per modernizzare il Cyber Risk Management, ricco di suggerimenti e spunti estremamente utili anche in Italia, in un momento in cui di parla di una costituenda Agenzia italiana della Cybersecurity.
A cura di:
Elena Vaciago, @evaciago
