Il governo Usa ha pubblicato un nuovo set di regole per i provider che intendono ospitare i dati del governo americano. Le norme sono state pubblicate dal Dipartimento della Difesa americano Dod e sono effettive da subito. Queste includono requisiti per le aziende che gestiscono informazioni governative e delineano come dovrebbero essere gestite le violazioni della rete, le minacce informatiche e infine come segnalare gli incidenti alle agenzie governative.
SERVIZI IN CLOUD PER DATI NON CLASSIFICATI
Le regole si applicano solo a quelle imprese i cui servizi di cloud ospitano materiale non classificato. I dati classificati, invece, sono coperti da un diverso insieme di regole di rendicontazione e da altri requisiti di sicurezza.
INTERESSATE 10 MILA AZIENDE
Il Dod stima che le suddette nuove regole riguardano ben 10.000 aziende titolari di un contratti per la gestione dei dati del governo. Seconda quanto dichiarato dal Ministro per la Difesa, queste: “stabiliscono che appaltatori e subappaltatori devono segnalare gli incidenti informatici aventi un effetto negativo (anche solo potenziale) su un sistema di informazione di un’azienda o sulla capacità della stessa di fornire supporto critico operativo”. Inoltre la direzione intrapresa sembra volgere verso un registro unico degli incidenti informatici, creando un unico meccanismo di report per la segnalazione degli stessi anche sui sistemi operativi non classificati.
IN EVIDENZA
Delle molte regole indicate dal ministero, si possono evidenziare le seguenti: il Dipartimento della Difesa deve di essere informato entro 72 ore in caso di una cyber-intrusione; la registrazione delle immagini del disco per il sistema interessato deve essere conservato per 90 giorni e i tecnici del ministero devono poter accedere alle informazioni e agli apparati coinvolti al fine di investigare; nel caso venga trovato un malware in un sistema che ospita dati del governo, è necessario isolarlo e condividere l’informazione. Queste regole valgono anche per tutti i subappaltatori, al contrario di quanto finora avvenuto.
LINEE GUIDA PER SCEGLIERE IL PROVIDER
Nel documento ci sono anche le linee guida per le agenzie governative per selezionare il proprio provider di servizi cloud, i fornitori di cloud devono soddisfare alcuni requisiti: “In generale, il ministero della Difesa acquisterà servizi di cloud-computing utilizzando condizioni commerciali che siano coerenti con la legge federale e le necessità di un’agenzia”.
TERRITORIO NAZIONALE E CRITTOGRAFIA
Il contraente, inoltre, deve mantenere le informazioni fisicamente nel territorio degli Stati Uniti. In caso contrario, previa autorizzazione, deve “implementare e mantenere le garanzie amministrative, tecniche e fisiche, e deve effetturare controlli con il livello di sicurezza e dei servizi richiesti, secondo la Guida ai requisiti Cloud Computing Security”.
SI RAFFORZA LA SICUREZZA NAZIONALE
Jennifer Hawes, tra gli editor del Defense Acquisition Regulations System (Sistema di Regole sugli Acquisti della Difesa) ha dichiarato: “I vantaggi di un aumento dei requisiti di sicurezza attuati per mezzo di queste regole è che maggiori informazioni saranno protette dal rilascio, involontario o con dolo e così facendo si rafforzala sicurezza nazionale”.
FASE TRANSITORIA
Alcuni osservatori hanno evidenziato che questo insieme di regole è indispensabile per migliorare il controllo dei dati, ma allo stesso tempo può generare confusione tra le agenzie statunitensi e tra i cloud provider, perché le regole sono considerate precarie e perché, in futuro, potranno essere soggette ad ulteriori revisioni e modifiche.
MIGRAZIONE VERSO IL CLOUD
Secondo un recente studio condotto da Cisco, azienda leader nella fornitura di networking, il cloud è entrato in una fase di maturità che sta per attraversare a una fase di ancora maggiore diffusione. Questo non viene più considerato come mero strumento di efficienza e riduzione dei costi, bensì una piattaforma per alimentare innovazione e crescita delle aziende stesse. Questa stessa direzione sembra quindi intrapresa dalle agenzie governative statunitensi: la manovra portata avanti dal dipartimento della difesa volge proprio verso un sempre maggiore utilizzo delle tecnologie cloud.
