Il presidente degli Stati Uniti Joe Biden lunedì 21 marzo, parlando al Business Roundtable Quarterly Meeting a Washington, associazione che raccoglie i CEO delle 181 aziende più importanti negli USA, ha affermato che, in base agli aggiornamenti di quello che ha chiamato “la nuova intelligence” riguardante i piani del presidente russo Vladimir Putin, sussiste il forte timore che la Russia stia preparando attacchi informatici contro gli Stati Uniti, anche in risposta alle massicce sanzioni economiche che sta subendo.
“Più Putin si sente con le spalle al muro” – ha detto il presidente Biden – “maggiore è la severità delle tattiche che può impiegare […] uno degli strumenti che è più probabile che utilizzi a mio avviso, a nostro avviso, sono gli attacchi informatici […]. L’entità di questi attacchi è consequenziale e si sta concretizzando”.
Biden ha affermato che “tutto ciò fa parte del gioco della Russia”.
Indice degli argomenti
Occorre prepararsi ad affrontare nuove minacce cyber
Non è la prima volta che il presidente degli Stati Uniti richiama l’attenzione del paese su potenziali cyber attacchi: a differenza di altre volte, però, sembra che questa eventualità si sia fatta estremamente concreta.
Considerando la storia passata, non è difficile ipotizzare che i presunti attacchi potrebbero riguardare le infrastrutture più critiche degli Stati Uniti, basti pensare all’attacco condotto nel 2021 da DarkSide (questo almeno quanto sostenuto dall’ FBI) contro il più grande oleodotto di carburante degli Stati Uniti, la Colonial Pipeline.
Ricordiamo che, in quell’occasione, la Colonia Pipeline decise in maniera unilaterale, basandosi su un proprio interesse commerciale, di pagare un riscatto di 5 milioni di dollari e chiudere gran parte della fornitura di carburante della costa orientale senza consultare il governo degli Stati Uniti.
Il Presidente Biden ha sottolineato come la sua amministrazione continuerà a utilizzare tutti gli strumenti a sua disposizione per fronteggiare tale minaccia, ma ha aggiunto “il governo federale non può difendersi da solo. È compito delle aziende rafforzare le proprie difese informatiche”, facendo anche notare che la maggior parte delle infrastrutture critiche americane è in mano a privati.
Secondo quanto riportato dalla Cnn, i dipartimenti statunitensi dell’Energia, del Tesoro e della Sicurezza Interna nelle ultime settimane si sono dedicati a informare banche, società di servizi elettrici e in genere gestori di infrastrutture considerate critiche e hanno invitato le aziende di tutti i settori a segnalare qualsiasi attività sospetta.
Lo stesso presidente ha dichiarato a tal proposito che “la Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento di Sicurezza Interna sta collaborato attivamente con le organizzazioni in tutte le infrastrutture critiche per condividere rapidamente informazioni e linee guida relative alle mitigazioni per proteggere le loro infrastrutture, reti, sistemi”.
“Se non lo hanno già fatto” – ha concluso il Presidente – “esorto i nostri partner del settore privato a rafforzare immediatamente le proprie difese informatiche mettendo in atto le best practices che abbiamo sviluppato insieme nell’ultimo anno”.
Anne Neuberger, vice consigliere per la sicurezza nazionale e responsabile della sicurezza informatica, ha descritto l’avvertimento del Presidente Biden come “un invito all’azione e un appello alla responsabilità”, pur non fornendo nessun dettaglio in più riguardo ad eventuali attacchi informatici da parte della Russia. Ai giornalisti alla Casa Bianca, Neuberger ha ribadito che al momento “non ci sono informazioni tali da ritenere che ci sarà un attacco certo alle infrastrutture critiche americane”, però ha anche affermato che secondo le informazioni in possesso del governo americano, la Russia starebbe “esplorando” le opzioni per potenziali attacchi verso gli Stati Uniti.
Consigli per migliorare la postura cyber delle aziende
La Casa Bianca ha rilasciato una scheda informativa che descrive le best practice con cui le aziende statunitensi possono difendersi dagli attacchi informatici. Queste le misure più importanti che le aziende sono invitate a mettere in atto quanto prima:
- uso dell’autenticazione a più fattori;
- crittografia dei dati;
- installazione delle più recenti patch di sicurezza;
- backup;
- esercitazioni periodiche per valutare l’efficacia dei piani di emergenza, in modo da essre pronti a rispondere rapidamente a un eventuale attacco;
- informazione e formazione dei propri dipendenti, che devono essere in grado di riconoscere, e segnalare, eventuali comportamenti o eventi sospetti;
- coinvolgimento fin da subito di CISA ed FBI, ben prima di un cyber attacco in corso.
Come ulteriori misure da applicare nel medio-lungo periodo, le aziende sono incoraggiate a:
- mettere in atto un approccio security by design;
- sviluppare il proprio software solo attraverso ambienti sicuri e a cui possono accedere solo persone autorizzate;
- verificare la presenza di vulnerabilità note o potenziali;
- accertare, da parte degli sviluppatori del software, la provenienza del codice da loro utilizzato, soprattutto per quanto riguarda gli open source;
- attuare le pratiche di sicurezza previste dall’ordine esecutivo del Presidente Biden.
Crisi russo-ucraina: ripensare la strategia cyber
L’esperienza spesso negativa nella gestione dei numerosi attacchi informatici nell’ultimo anno (un esempio per tutti, ancora una volta, quello alla Colonial Pipeline) ha indubbiamente fatto riflettere l’amministrazione e gli organi federali degli Stati Uniti su quanto fosse necessario che la Casa Bianca assumesse un ruolo chiave all’interno del piano di sicurezza informatica del paese.
Si è inoltre capito che “l’approccio puramente volontario” alla sicurezza informatica non può portare da nessuna parte. Ne è testimonianza la recente iniziativa della Federal Communications Commission (FCC), annunciata l’11 marzo, con l’obiettivo di indagare se le società di telecomunicazioni statunitensi stessero facendo abbastanza per proteggersi dalle minaccia di attacchi, senza tuttavia avere il potere di costringere le aziende a conformarsi.
La guerra in Ucraina e la minaccia di attacchi informatici dalla Russia non hanno fatto altro che accelerare il processo, costringendo la Casa Bianca a ripensare alla strategia della cyber security.
Tale strategia consiste in un controllo “più forte” esercitato del Governo attraverso regole che impongano alle organizzazioni di soddisfare quello che potremmo chiamare “standard minimi di sicurezza informatica”, partnerships più strette con il settore privato, verifica dell’applicazione di tali regole e del fatto che abbiano l’effetto di produrre un allontanamento dalla pura logica di mercato.
Se diamo un’occhiata alle misure suggerite nella scheda informativa pubblicata dalla Casa Bianca, emerge come si tratti di misure di assoluto “buon senso”: del resto, già l’ “incidente” della Colonial Pipeline ha dimostrato che la maggior parte degli attacchi non dipendono da problematiche tecnologiche, ma sfruttano problemi ben noti da anni e mai risolti dalle aziende, le quali non vogliono o non riescono ad investire tempo, denaro e risorse in questo tipo di attività.
Molto spesso il successo di un attacco hacker dipende dal fatto di penetrare in un ambiente in cui non sono state implementate alcune delle misure elementari di sicurezza informatica, come l’applicazione di patch di sicurezza o una corretta configurazione dei firewall.
Ecco il “Cybersecurity Act 2022” americano: così gli Usa alzano le difese cyber
Conclusioni
La strategia che la Casa Bianca sta mettendo in atto non sarà facile da attuare, ma sembra che in questo abbia ottenuto consenso e appoggio delle aziende private, dove la regolamentazione è vista non solo necessaria e inevitabile, ma anche un’opportunità.
Negli ultimi mesi, l’amministrazione Biden ha emanato molte nuove regole di sicurezza informatica per banche, gasdotti, sistemi ferroviari, compagnie aeree e aeroporti.
Biden ha firmato l’anno scorso un ordine esecutivo per la sicurezza informatica (Executive Order on Improving the Nation’s Cybersecurity, 12 maggio 2021) per rafforzare la sicurezza informatica federale e imporre standard di sicurezza a qualsiasi azienda che effettua vendite al governo, e più recentemente lo Strengthening American Cybersecurity Act, che ha lo scopo di rafforzare la capacità delle infrastrutture americane considerate “critiche” di individuare e rispondere prontamente ad attacchi informatici.
