Il bilancio è in linea con i pilastri della strategia nazionale. Comprendere l’agenda americana serve “non solo per posizionarci nella scia del nostro più importante alleato, ma anche per cogliere quelle che potrebbero essere per il nostro Paese alcune delle priorità politiche in questo settore”, commenta Stefano Mele (Gianni & Origoni)
Da poco più di quattro cinque mesi gli Stati Uniti hanno una nuova Strategia nazionale di cybersicurezza per uno spazio digitale difendibile, resiliente e in linea con i valori democratici. Da più cinque mesi, invece, Kemba Walden ha assunto il ruolo di National Cyber Director ad interim dopo le dimissioni di metà febbraio di Chris Inglis, primo a svolgere tale incarico alla Casa Bianca. In estate dovrebbe essere pubblicato il piano di attuazione della Strategia nazionale di cybersicurezza.
Nonostante questa situazione, l’Ufficio del direttore nazionale per la cybersicurezza e l’Ufficio per la gestione e il bilancio hanno pubblicato un memorandum che delinea le cinque priorità di bilancio per la cybersecurity per i dipartimenti e le agenzie federali per l’anno fiscale 2025, in linea con gli altrettanti pilastri della nuova strategia: difendere le infrastrutture critiche; distruggere e smantellare i cyber-attaccanti; modellare le forze di mercato per promuovere la sicurezza e la resilienza; investire in un futuro resiliente; creare partnership internazionali per perseguire obiettivi condivisi.
Il memorandum spiega che le proposte di bilancio dovranno essere coerenti con la Strategia nazionale di cybersicurezza e i due uffici esamineranno le prossime proposte di bilancio delle agenzie per “identificare potenziali lacune” e “potenziali soluzioni a tali lacune”. La nota afferma che le agenzie federali devono difendere le infrastrutture critiche modernizzando le difese federali attraverso l’implementazione della strategia federale zero-trust, migliorando i requisiti di base per la cybersicurezza e intensificando la collaborazione pubblico-privato. Inoltre, sottolinea che il ransomware continua a essere una minaccia per la sicurezza nazionale e che alcune agenzie dovrebbero concentrarsi sullo smantellamento dei cyber-attaccanti. Infine, l’amministrazione Biden ha chiesto alle agenzie di utilizzare il loro potere d’acquisto per influenzare il mercato della cybersicurezza, di utilizzare metodi di assunzione basati sulle competenze per rafforzare la forza lavoro nel settore informatico, di seguire i memorandum sulla sicurezza nazionale relativi a un futuro post-quantum, di rafforzare le partnership internazionali e di proteggere le catene di approvvigionamento globali per le tecnologie informatiche, di comunicazione e operative.
Cogliere quali siano le principali tendenze evolutive della strategia americana appare “di importanza cardinale, non solo per posizionarci nella scia del nostro più importante alleato, ma anche per cogliere quelle che potrebbero essere per il nostro Paese alcune delle priorità politiche in questo settore”, commenta l’avvocato Stefano Mele, partner e responsabile del dipartimento cybersecurity law dello studio legale Gianni & Origoni, a Formiche.net.
In particolare, l’esperto indica il secondo pilastro, quello relativo al contrasto alle attività degli attori malevoli. In questo campo, gli investimenti americani si andranno a focalizzare quasi esclusivamente sulla lotta al cyber crime e, in particolar modo, sulla ben nota minaccia degli attacchi ransomware. “In maniera molto corretta e lungimirante, infatti, gli Stati Uniti hanno da tempo “riqualificato” questo genere di attacchi come una minaccia per la sicurezza nazionale, permettendo così – in casi ben determinati – anche azioni reattive nei confronti degli attori che compiono questo genere di reati”, spiega. “Non deve apparire eccessivo, quindi, né tantomeno irrazionale, leggere oggi che le priorità di investimento del governo americano non saranno legate solo alle (sicuramente imprescindibili) attività investigative, ma anche alle azioni tese a creare effetti per interrompere l’operatività delle infrastrutture e degli attori malevoli impiegati negli attacchi ransomware”, aggiunge.
Un secondo elemento di interesse, inoltre, discende dall’obiettivo strategico – inedito per il mercato americano – di rendere i produttori di software giuridicamente responsabili dell’eventuale insicurezza dei loro prodotti e servizi. È un tema “particolarmente delicato e controverso, da cui scaturiranno certamente molteplici dibattiti in seno al Congresso americano”, dice l’avvocato Mele. “Tuttavia, almeno per il momento, appare interessante evidenziare come l’Ufficio esecutivo del presidente degli Stati Uniti si limiti ad affrontare il tema andando a investire le risorse economiche governative solo per consentire alle agenzie americane di rispettare i requisiti di sicurezza minimi per lo sviluppo del software, fissati, nel 2022, in uno specifico memorandum dell’Ufficio per la gestione e il bilancio”, continua. “Un approccio, quindi, molto lontano dalla strategia europea che, attraverso il Cybersecurity Act e il Cyber Resilience Act, mira ad applicare quel principio di security by design che, dal 2016, è alla base dell’approccio strategico del Vecchio continente”.
Infine, dal documento emerge una chiara focalizzazione degli investimenti americani anche nel settore del cosiddetto post-quantum. “In vista del futuro avvento – non ancora così prossimo – dei computer quantistici, infatti, gli Stati Uniti intendono fin da subito posizionarsi come leader sul piano internazionale, anche per far fronte alle minacce che discenderanno da questa vera e propria rivoluzione nel mondo tecnologico”, osserva Mele. “Già da tempo, infatti, le principali agenzie di intelligence si sono posizionate su una strategia di ‘steal now – decrypt later’, ovvero sottrarre il maggior numero di informazioni possibili oggi (anche se crittografate), per poterle decodificare (e quindi conoscerne il contenuto) in futuro, quando appunto i computer quantistici riusciranno a risolvere agevolmente gli attuali algoritmi crittografici”, conclude l’avvocato.