Il 2 marzo il senatore del Michigan, Gary Peters, ha presentato al Senato americano un disegno di legge, lo Strengthening American Cybersecurity Act 2022, che è stato poi approvato all’unanimità dall’assemblea nella notte (qui il testo completo del disegno di legge). Per diventare legge deve ancora essere “firmato” dal Presidente Joe Biden.
Uno degli obiettivi principali della legge “omnibus” sulla cyber security in America, complice anche la situazione che si è venuta a creare in conseguenza della guerra cyber russo-ucraina e delle sue implicazioni, è quello di rafforzare la capacità delle infrastrutture americane considerate “critiche” (come reti elettriche, reti idriche e sistemi di trasporto, oleodotti, banche) di individuare e rispondere prontamente ad attacchi informatici.
USA e cyber guerra: ecco le misure di sicurezza per proteggere il sistema Paese
Un aggiornamento delle leggi USA sulla sicurezza informatica
La sicurezza delle infrastrutture critiche è stata al centro dell’attenzione americana nell’ultimo anno, come evidenziato nell’ordine esecutivo n. 14028 Improving the Nation’s Cybersecurity 2021 del Presidente Joe Biden sul miglioramento della sicurezza informatica degli Stati Uniti.
Altri obiettivi riguardano l’aggiornamento delle attuali leggi sulla sicurezza informatica per migliorare il coordinamento tra le agenzie federali, e le metodologie per adottare in modo rapido e sicuro tecnologie basate sul cloud, tecnologie capaci di migliorare l’efficienza del governo, da un lato, e permettano di risparmiare denaro ai contribuenti.
Più in dettaglio, il disegno di legge si articola in tre parti:
- il Federal Information Security Modernisation Act 2022;
- il Cyber Incident Reporting for Critical Infrastructure Act 2022;
- Federal Secure Cloud Improvement and Jobs Act 2022
Col primo provvedimento si vuole modernizzare il precedente Federal Information Security Modernization Act, entrato in vigore nel 2002 e aggiornato per l’ultima volta nel 2014.
Il nuovo ruolo della CISA
Il nuovo disegno di legge porrebbe la Cybersecurity and Infrastructure Security Agency (CISA) e la nuova posizione di Cyber Director nazionale in un ruolo consultivo nei confronti dell’Office of Management and Budget (OMB) per quanto riguarda la definizione di politiche di sicurezza e le modalità di raccolta delle informazioni.
La CISA assumerebbe anche il ruolo di “entità principale per il coordinamento operativo della sicurezza informatica in tutto il governo federale” e verrebbe richiesto alle altre agenzie di includerla nei piani di sicurezza che forniscono all’OMB.
La CISA avrebbe anche il compito di condurre regolari valutazioni di rischio e informare il Cyber Director nazionale dei risultati, includendo l’analisi degli incidenti in corso, le mitigazioni, le vulnerabilità note del sistema, lo stato dei penetration test, le attività di threat intelligence e di threat hunting.
Cosa cambia per i proprietari di infrastrutture critiche
Nel complesso, quello proposto è un “modello di sicurezza informatica federale olistico” che “tenga conto delle differenze tra le diverse missioni e le capacità delle agenzie federali”.
In base al Cyber Incident Reporting for Critical Infrastructure Act, verrebbe richiesto ai proprietari di infrastrutture critiche in caso di violazioni sicurezza o di grave incidente informatico di riferire alla CISA entro 72 ore dall’evento.
Il termine “grave” (“significant” in inglese) usato nel disegno di legge per identificare questo tipo di violazioni si riferisce a una violazione o incidente che “possa comportare un danno dimostrabile agli interessi di sicurezza nazionale, alle relazioni esterne o all’economia degli Stati Uniti, alle libertà civili o alla salute e sicurezza pubblica del popolo degli Stati Uniti”.
Gli operatori delle infrastrutture critiche dovrebbero inoltre notificare alla CISA entro 24 ore eventuali pagamenti effettuati in risposta a un ricatto ransomware. Il senatore Peters ha affermato che l’obiettivo di questa parte del disegno di legge è rafforzare la sicurezza delle infrastrutture critiche, ma anche consentire alla CISA di raccogliere una maggiore quantità di dati sulle minacce informatiche alle infrastrutture critiche.
L’idea della segnalazione obbligatoria degli incidenti ha preso piede nell’ultimo anno negli Stati Uniti in vari settori, non soltanto quello delle infrastrutture cosiddette “critiche”: si pensi, ad esempio, alla Federal Deposit Insurance Corporation (FDIC), che a novembre 2021 ha approvato una norma che richiede alle banche di notificare alle autorità di regolamentazione gli incidenti di sicurezza entro 36 ore, o alla Securities and Exchange Commission (SEC) che sta discutendo l’eventualità dell’obbligo di segnalazione entro 48 ore di incidenti che coinvolgano società che si occupano di investimento fondi.
D’altra parte, la segnalazione degli incidenti informatici non solo aiuta a capire meglio come difendersi dalle minacce informatiche, ma può anche fornire informazioni fondamentali per prevenire altri attacchi dello stesso tipo.
Il Federal Secure Cloud Improvement and Jobs Act, infine, stabilisce le regole alla base del Federal Risk and Authorisation Management Program (FedRAMP), il programma di certificazione in ambito di sicurezza cloud delle agenzie federali, per garantire che tali agenzie possano adottare in modo rapido e sicuro tecnologie basate sul cloud, tenendo conto in particolare delle implicazioni e della gestione delle vulnerabilità nelle catene di fornitura del software dei fornitori di servizi cloud, aspetto questo estremamente critico e, sotto molti aspetti, ancora non risolto.
Conclusioni
Nella sua relazione, il senatore Peters ha sottolineato l’importanza strategica del nuovo disegno di legge con le seguenti parole: “Questo disegno di legge bipartisan aiuterà a proteggere le nostre reti federali, ad aggiornare i requisiti di segnalazione degli incidenti informatici per le agenzie federali e gli appaltatori per garantire che condividano rapidamente le informazioni e impedire agli hacker di infiltrarsi nelle reti delle agenzie per rubare dati sensibili e compromettere la sicurezza nazionale”.