Più spazio alla National Security Agency nella difesa cibernetica degli Stati Uniti dalle attività sia di attori statuali sia di criminali informatici. È la ricetta del presidente Joe Biden, che ha firmato un memorandum che coinvolge anche il dipartimento della Difesa e le agenzie di intelligence del Paese. Al centro c’è l’obbligo per le agenzie federali di “identificare i loro sistemi di sicurezza nazionale e segnalare gli incidenti informatici che si verificano su di essi alla National Security Agency” al fine di aiutare il governo a identificare e mitigare i rischi.

Il tutto avviene sulla scia di molteplici avvertimenti rilasciati dalla Cybersecurity and Infrastructure Security Agency su potenziali minacce provenienti dalla Russia e dalla Cina, oltreché dopo la riorganizzazione di alcune agenzie, compreso il dipartimento di Stato, per renderle più forti davanti alle minacce informatiche. 

La National Security Agency, da cui proviene Anne Neuberger, scelta dal presidente Biden come vice consigliere per la sicurezza nazionale con delega a cyber e tecnologie emergenti, ha avuto per molto tempo compiti sia offensivi sia difensivi. Ma, ricorda il Wall Street Journal, ha anche cercato di espandere la sua missione nella sicurezza cibernetica, soprattutto negli anni successivi alla fuga di notizie del caso riguardando Edward Snowden. Con il memorandum acquisisce ampi poteri per emettere direttive vincolanti che costringono le agenzie a “intraprendere azioni specifiche contro minacce e vulnerabilità di cybersecurity note o sospette”.

Il memorandum traduce le indicazioni dell’executive order firmato dal presidente nel maggio dell’anno scorso dopo i casi SolarWinds, Microsoft Exchange e Colonial Pipeline. Il nuovo documento, infatti, dettaglia l’applicazione della precedente direttiva e e le scadenze per l’attuazione di strumenti come l’autenticazione a due fattori, la crittografia, le tecnologie cloud e i servizi di rilevamento degli endpoint entro tre mesi al massimo.

Ecco cosa scrivevamo a maggio su Formiche.net.

L’executive order si compone di sette passaggi cruciali. Primo: rimuovere gli ostacoli alla condivisione delle informazioni sulle minacce tra governo e settore privato per consentire difese più efficaci dei dipartimenti federali e per migliorare la sicurezza informatica della nazione nel suo complesso. Secondo: modernizzare e implementare standard di sicurezza informatica più rigorosi nel governo federale puntando su soluzioni zero-trust e accelerando il passaggio ai servizi cloud sicuri. Terzo: rafforzare la sicurezza della supply chain del software. Quarto: istituire un Cyber Safety Review Board al dipartimento per la Sicurezza nazionale, che vede pubblico (Pentagono, Giustizia, Cisa, Nsa e Fbi) e privato riunirsi dopo attacchi significativi per analizzare l’accaduto e preparare le difese. Il comitato si ispira al National Transportation Safety Board, che viene consultato dopo i gravi incidenti aerei per esempio. Quinto: creare un manuale standard per rispondere agli incidenti che interesserà le agenzie federali ma possa anche rappresentare un modello per il settore privato. Sesto: migliorare le capacità di rilevare le minacce. Settimo: potenziare le capacità di indagine e risoluzione degli incidenti.

A maggio, Stefano Mele, partner dello studio legale Gianni & Origoni, osservava una “comunità d’intenti” tra il Perimetro di sicurezza nazionale cibernetica che sta prendendo forma in Italia e l’executive order dell’amministrazione Biden. “I governi italiano e statunitense procedono sulla stessa strada, nell’ottica di fortificare l’organizzazione e la risposta alla minaccia cibernetica”, dichiarava a Formiche.net. “Gli Stati Uniti e l’Italia, come tutti gli altri Paesi occidentali, si trovano ad affrontare problemi simili e lo fanno, sia pur con diversi sensibilità e gradi di urgenza, seguendo una specifica direttrice: intensificare lo scambio di informazioni tra publico e privato, rafforzare la sicurezza della supply chain, elevare gli standard di sicurezza cibernetica all’interno delle aziende e della pubblica amministrazione per allinearli all’innalzamento del livello qualitativo degli attacchi cibernetica perpetrati dagli attori esterni”.