Anne Neuberger, vice consigliere per la sicurezza nazionale per la tecnologia informatica e emergente
Subito dopo la pubblicazione da parte della CISA e del NIST delle linee guida per la protezione dagli attacchi in supply-chain, l’amministrazione Biden sta dando gli ultimi ritocchi a un ordine esecutivo volto ad aiutare gli Stati Uniti a difendersi dagli attacchi informatici di rilievo, come quello che i criminal-state russi hanno recentemente lanciato contro il produttore di software texano SolarWinds.
L’ordine, come ora descritto, stabilisce una serie di nuovi requisiti per le aziende che fanno affari con il governo. L’iniziativa include piani di controllo più sistematiche su eventi informatici e standard per lo sviluppo di software. L’idea è di utilizzare il processo di contrattazione federale per imporre cambiamenti che alla fine si riverseranno sul resto del settore privato.
Advertising
“Quindi, in sostanza, gli appalti del governo federale ci consentono di dire, se stai facendo affari con il governo federale, ecco una serie di cose che devi rispettare per poter svolgere affari con noi”
riporta Anne Neuberger, vice consigliere per la sicurezza nazionale per cyber e tecnologia emergente alla Casa Bianca, ha detto a NPR in un’intervista esclusiva.
Dice che l’ordine esecutivo
“fisserà l’obiettivo, gli darà una sequenza temporale e quindi stabilirà il processo per elaborare i dettagli”
su una manciata di iniziative di sicurezza informatica, dalla creazione di nuovi modi per indagare sugli attacchi informatici allo sviluppo di standard per il software.
Tra le altre cose, l’attacco è stato lanciato dall’interno degli Stati Uniti su server che i russi avevano affittato da luoghi come Amazon e GoDaddy. In questo modo, gli hacker sono riusciti a sfuggire ai sistemi di monitoraggio della National Security Agency perché alla NSA non è consentito condurre la sorveglianza all’interno degli Stati Uniti.
“Abbiamo fatto uno studio dettagliato di SolarWinds e ha dimostrato che abbiamo un lavoro importante da fare per modernizzare la nostra sicurezza informatica … per ridurre il rischio che ciò accada di nuovo”
ha detto Neuberger.
“E l’imminente ordine esecutivo è una parte importante di tutto questo.”
Proprio come l’NTSB ispeziona i rottami di un aereo e recupera le scatole nere per vedere se l’incidente richiede una correzione sistematica, un cyber NTSB potrebbe potenzialmente esplorare i registri di codice e dati per scoprire le cause alla radice che hanno permesso un attacco informatico di successo.
“Cosa possiamo imparare riguardo a come ricevere un preavviso di tali incidenti? Cosa gli ha permesso di avere successo? Potenzialmente, cosa gli ha permesso di colpire in modo cosi ampio, se lo era, quali settori sono stati colpiti? Perché?”
Sono le domande riportate dalla Neuberger, alle quale occorrerebbe una risposta.
Alex Stamos è l’ex capo della sicurezza di Facebook ora, dirige l’Osservatorio Internet presso la Stanford University e afferma che uno dei problemi con la strategia informatica globale del paese è che non c’è nessuno incaricato di guardare al quadro generale. Un NTSB per la cyber fornirebbe una risposta a questo.
“Hai l’FBI, che è profondamente coinvolto nella risposta all’incidente, ma è lì per far rispettare la legge. Non è il loro lavoro arrivare a conclusioni per l’intera società”
ha detto.
“Hai la CISA del DHS, la Cybersecurity Infrastructure Security Agency, il loro lavoro è lavorare sulla difesa. Quindi sono probabilmente le agenzie più vicine a questo, ma non hanno poteri investigativi. Quindi siamo in questo strano posizione in cui davvero non è compito di nessuno … dirci cosa è successo. “
Neuberger afferma inoltre che l’ordine esecutivo cerca di affrontare questo problema creando maggiore trasparenza.
“Se tu o io stiamo andando ad acquistare un software di gestione della rete come SolarWinds e vogliamo acquistare un software più sicuro, non abbiamo modo di valutare quale sia. E di conseguenza, non abbiamo modo di dire: sai una cosa? Sono disposto a pagare cinque dollari in più per il software più sicuro perché non voglio portare più rischi nella mia rete.”
Neuberger ha affermato che l’amministrazione può rimediare definendo una serie di requisiti per il modo in cui il software è costruito.
Gli appaltatori federali dovranno dimostrare di avere pratiche sicure come separare il luogo in cui sviluppano il software da Internet e cose come richiedere la prova dell’autenticazione a più fattori. L‘amministrazione sta cercando di cambiare il modo in cui tutti pensiamo al codice: non si tratta solo di zero e uno: è un’infrastruttura critica.
Di fatto tutto questo è quello che riportavamo su Red Hot Cyber qualche anno fa parlando di Security-Slicing (facendo il verso alla rete 5G), ovvero il concetto di pagare anche in base agli standard di sicurezza di un determinato prodotto e quindi decidere se investire di più o meno per essere più sicuri. Chi valuterà tutto questo? questo è ancora da capire. Da noi il CVCN?
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.