I casi delle intrusioni cyber russe e cinesi contro SolarWinds e Microsoft spingono il governo americano a una revisione della strategia di cybersecurity. Biden pensa a una struttura con le aziende private, da Amazon a Google. Ma il dibattito si fa spazio anche in Ue
Da una parte l’etica, dall’altra la sicurezza nazionale. La strategia per la cybersecurity del governo americano si trova di fronte a un bivio.
I primi mesi dell’amministrazione di Joe Biden sono stati segnati da due delle più letali brecce al sistema della sicurezza cibernetica americana: l’attacco all’azienda produttrice di software SolarWinds e quello contro Microsoft, rispettivamente attribuiti dall’intelligence a collettivi hacker legati al governo russo e cinese.
Entrambi sono passati inosservati agli occhi delle agenzie di intelligence statunitensi. Sono state infatti due aziende private, la società di consulenza FireEye e una piccola azienda in Virginia, Volexity, a lanciare l’allarme per prime.
Una constatazione che pone oggi la Casa Bianca di fronte a una scelta improrogabile, scrive il Wall Street Journal, ovvero avviare una revisione della strategia di sicurezza cibernetica per dare un nuovo framework istituzionale alla collaborazione fra privati e agenzie di intelligence governative.
Sia l’incursione nei sistemi di SolarWinds, di cui sono sospettati gli hacker russi del GRU (Main intelligence directorate) noti con il nome di “Cozy Bear”, sia l’attacco a Microsoft hanno messo a nudo i limiti degli 007 americani. Le due operazioni, dimostrano le indagini preliminari, sono state infatti lanciate all’interno degli Stati Uniti, facendo leva sui server di Amazon, GoDaddy e di altri fornitori minori.
La legge americana però vieta alla Nsa (National security agency) e alla sua controparte militare, lo US Cyber Command, di operare da dentro i confini nazionali. Privandole così della possibilità di prevedere e impedire per tempo un’intrusione cyber di dimensioni macroscopiche, come quella contro SolarWinds, originata sul territorio nazionale. “L’Nsa non può operare nell’infrastruttura domestica – nota l’ex direttore dell’agenzia Michael S. Rogers, citato dal Wsj – non puoi difendere quel che non vedi”.
La “cecità” delle agenzie americane rischia di diventare un serio problema, anche perché i due attacchi dei mesi scorsi potrebbero fare scuola all’estero, dimostrando la vulnerabilità del sistema. Per questo la Casa Bianca starebbe valutando una revisione del sistema di sicurezza cibernetica. Una riforma del Foreign intelligence surveillance act (Fisa) al Congresso non è obiettivo semplice né raggiungibile in tempi rapidi.
Ecco allora che si fa strada un’alternativa: una nuova struttura, che possa fare leva sulle informazioni delle agenzie federali e al tempo stesso delle migliori competenze del settore privato. L’iniziativa gode di un consenso bipartisan a Washington DC. Un recente report del Csis (Center for strategic and international studies), influente think tank americano, invita a “permettere alle organizzazioni del settore privato di condurre un’attività di intelligence da più fonti che potrebbe competere o anche superare la comunità di intelligence in termini di accuratezza e di rilevanza per i decisori politici, più veloce e meno costosa”. La stessa strategia per la sicurezza nazionale “ad interim” rilasciata dalla Casa Bianca due settimane fa descrive la cybersecurity come una “priorità assoluta” dell’amministrazione e incoraggia “la collaborazione fra il settore privato e il governo a tutti i livelli”.
I casi di Solar Winds e Microsoft hanno squarciato il velo sui limiti della prevenzione delle strutture governative, dalla Cisa (Cybersecurity and infrastructure security agency) al sistema di monitoraggio delle minacce cyber “Einstein” del Dipartimento per la Sicurezza interna fino all’Fbi.
La strada però resta in salita. Molte delle aziende private del settore, a cominciare dai grandi fornitori di servizi Ict, sono restie a collaborare con il governo. A distanza di otto anni, pesa ancora il caso di Edward Snowden, l’ex agente della Cia che ha rivelato un sistema di sorveglianza di massa da parte dell’intelligence statunitense. Perfino Amazon, che pure ha accettato di gestire il sistema Cloud della Cia, ha deciso di dare forfait a un’audizione della Commissione intelligence del Senato sull’hackeraggio di SolarWinds.
Tra i motivi che spingono il governo federale a cercare una sede per una collaborazione istituzionale fra privati e intelligence c’è il nodo dell’“attribuzione”. Le agenzie governative non di rado impiegano molto più tempo a individuare i responsabili dell’attacco cyber rispetto ai privati. Microsoft ha già accusato un collettivo di hacker legato al governo cinese per l’intrusione subita, mentre dal governo americano si aspetta ancora un assessment definitivo sul caso SolarWinds.
Il dibattito sulla collaborazione fra governo e privati sul fronte della cybersecurity non è confinato agli Stati Uniti. A questo mira l’istituzione da parte dell’Ue dell’ “Eu cybersecurity competence center” con sede a Bucarest cui nelle prossime settimane dovrà seguire l’individuazione negli Stati membri di un centro di competenza nazionale che affianchi il mondo dell’accademia e delle aziende private nel lavoro di prevenzione cyber delle strutture governative. Di quella schiera doveva fare parte l’ “Istituto italiano di cybersicurezza” inserito dal governo Conte-bis nella bozza della legge di bilancio a dicembre e poi rimosso nella versione finale dopo un pressing di una parte della maggioranza.
