Anne Neuberger, vice consigliere per la sicurezza nazionale per la tecnologia informatica e emergente
Subito dopo la pubblicazione da parte della CISA e del NIST delle linee guida per la protezione dagli attacchi in supply-chain, l’amministrazione Biden sta dando gli ultimi ritocchi a un ordine esecutivo volto ad aiutare gli Stati Uniti a difendersi dagli attacchi informatici di rilievo, come quello che i criminal-state russi hanno recentemente lanciato contro il produttore di software texano SolarWinds.
L’ordine, come ora descritto, stabilisce una serie di nuovi requisiti per le aziende che fanno affari con il governo. L’iniziativa include piani di controllo più sistematiche su eventi informatici e standard per lo sviluppo di software. L’idea è di utilizzare il processo di contrattazione federale per imporre cambiamenti che alla fine si riverseranno sul resto del settore privato.
“Quindi, in sostanza, gli appalti del governo federale ci consentono di dire, se stai facendo affari con il governo federale, ecco una serie di cose che devi rispettare per poter svolgere affari con noi”
riporta Anne Neuberger, vice consigliere per la sicurezza nazionale per cyber e tecnologia emergente alla Casa Bianca, ha detto a NPR in un’intervista esclusiva.
Dice che l’ordine esecutivo
“fisserà l’obiettivo, gli darà una sequenza temporale e quindi stabilirà il processo per elaborare i dettagli”
su una manciata di iniziative di sicurezza informatica, dalla creazione di nuovi modi per indagare sugli attacchi informatici allo sviluppo di standard per il software.
L’hack di Solarwinds in sé era sofisticato e furtivo. Gli intrusi hanno utilizzato nuove tecniche e sfruttato le lacune negli attuali sistemi di sicurezza informatica della nazione.
Tra le altre cose, l’attacco è stato lanciato dall’interno degli Stati Uniti su server che i russi avevano affittato da luoghi come Amazon e GoDaddy. In questo modo, gli hacker sono riusciti a sfuggire ai sistemi di monitoraggio della National Security Agency perché alla NSA non è consentito condurre la sorveglianza all’interno degli Stati Uniti.
“Abbiamo fatto uno studio dettagliato di SolarWinds e ha dimostrato che abbiamo un lavoro importante da fare per modernizzare la nostra sicurezza informatica … per ridurre il rischio che ciò accada di nuovo”
ha detto Neuberger.
“E l’imminente ordine esecutivo è una parte importante di tutto questo.”
Tra le altre cose, l’ordine creerà qualcosa come il National Transportation Safety Board, o NTSB incentrato nella Cybersecurity.
Proprio come l’NTSB ispeziona i rottami di un aereo e recupera le scatole nere per vedere se l’incidente richiede una correzione sistematica, un cyber NTSB potrebbe potenzialmente esplorare i registri di codice e dati per scoprire le cause alla radice che hanno permesso un attacco informatico di successo.
“Cosa possiamo imparare riguardo a come ricevere un preavviso di tali incidenti? Cosa gli ha permesso di avere successo? Potenzialmente, cosa gli ha permesso di colpire in modo cosi ampio, se lo era, quali settori sono stati colpiti? Perché?”
Sono le domande riportate dalla Neuberger, alle quale occorrerebbe una risposta.
Alex Stamos è l’ex capo della sicurezza di Facebook ora, dirige l’Osservatorio Internet presso la Stanford University e afferma che uno dei problemi con la strategia informatica globale del paese è che non c’è nessuno incaricato di guardare al quadro generale. Un NTSB per la cyber fornirebbe una risposta a questo.
“Hai l’FBI, che è profondamente coinvolto nella risposta all’incidente, ma è lì per far rispettare la legge. Non è il loro lavoro arrivare a conclusioni per l’intera società”
ha detto.
“Hai la CISA del DHS, la Cybersecurity Infrastructure Security Agency, il loro lavoro è lavorare sulla difesa. Quindi sono probabilmente le agenzie più vicine a questo, ma non hanno poteri investigativi. Quindi siamo in questo strano posizione in cui davvero non è compito di nessuno … dirci cosa è successo. “
Neuberger afferma inoltre che l’ordine esecutivo cerca di affrontare questo problema creando maggiore trasparenza.
“Se tu o io stiamo andando ad acquistare un software di gestione della rete come SolarWinds e vogliamo acquistare un software più sicuro, non abbiamo modo di valutare quale sia. E di conseguenza, non abbiamo modo di dire: sai una cosa? Sono disposto a pagare cinque dollari in più per il software più sicuro perché non voglio portare più rischi nella mia rete.”
Neuberger ha affermato che l’amministrazione può rimediare definendo una serie di requisiti per il modo in cui il software è costruito.
Gli appaltatori federali dovranno dimostrare di avere pratiche sicure come separare il luogo in cui sviluppano il software da Internet e cose come richiedere la prova dell’autenticazione a più fattori. L‘amministrazione sta cercando di cambiare il modo in cui tutti pensiamo al codice: non si tratta solo di zero e uno: è un’infrastruttura critica.
Di fatto tutto questo è quello che riportavamo su Red Hot Cyber qualche anno fa parlando di Security-Slicing (facendo il verso alla rete 5G), ovvero il concetto di pagare anche in base agli standard di sicurezza di un determinato prodotto e quindi decidere se investire di più o meno per essere più sicuri. Chi valuterà tutto questo? questo è ancora da capire. Da noi il CVCN?
Sicuramente tra qualche tempo lo scopriremo.
Fonte
