Tante agenzie e tantissimi miliardi, ma forse un approccio ancora poco coordinato alla cyber-security per gli Stati Uniti. È per questo che tra esperti e addetti ai lavori d’oltreoceano torna la proposta per un “Department of Cybersecurity”, un dipartimento a livello di gabinetto presidenziale con un’intera amministrazione alle sue dipendenze. Tra gli ultimi a lanciarla, sulla colonne di DefenseOne, c’è David Brumley, ceo di ForAllSecure, società con sede a Pittsburgh, in Pennsylvania, impegnata nello sviluppo di soluzioni per la sicurezza informatica. L’ultimo prodotto sviluppato (Mayhem) permette di testare e manutenere in modo automatizzato software critici, ed è stato scelto dal Pentagono (contratto da 45 milioni di dollari nel 2020) per essere impiegato in alcune componenti rilevanti del dipartimento. La proposta per un dipartimento cyber non è nuova. Ora però, con l’accelerazione digitale impressa dalla pandemia e l’estensione della superficie attaccabile (come dimostra l’aggressione ai sistemi della Regione Lazio), l’idea sembra trovare nuova linfa.

Lo scorso gennaio, nel firmare lo “American Rescue Plan”, Joe Biden ha alzato il livello d’ambizione dell’amministrazione sulla cyber-security con l’obiettivo di “modernizzare l’IT federale”. Prevede di investire per questo circa 10 miliardi di dollari, per lo più destinati al “Technology modernization fund” (già nato nel 2017 per finanziare l’innovazione tecnologica nell’universo federale) e alla Cybersecurity and infrastructure security agency (Cisa), l’agenzia creata da Donald Trump nel 2018, inserita nel perimetro del dipartimento per la Sicurezza interna, dotata di un budget annuale superiore ai tre miliardi di dollari, e messa a sistema nell’ambito della a National Cyber Strategy (anch’essa del 2018).

Ma l’approccio resta ancora “frazionato”, spiega Brumley. “Nonostante l’emissione di una Strategia nazionale di sicurezza informatica, non è ancora chiaro quale funzionario del ramo esecutivo sia in definitiva responsabile non solo del coordinamento dell’attuazione della Strategia, ma anche delle agenzie federali una volta implementate le attività”. La parte dedicata alla cyber-security nel piano emergenziale di Biden coinvolge “cinque tra dipartimenti e agenzie”. Oltre alla Cisa ci sono la General services administration (Gsa, agenzia indipendente che supporta il funzionamento delle strutture federali), lo US Digital services (unità di tecnici nell’ufficio del presidente) e il “federal chief information security officer”, figura introdotta nel 2016, attualmente ricoperta da Chris DeRusha, chiamato a garantire coordinamento politico sui temi della sicurezza informatica all’interno del governo federale.

Tutti “passi nella giusta direzione”, spiega il ceo di ForAllSecure, alimentati nelle ultime due amministrazioni dalla crescita costante (qualitativa e quantitativa) di minacce e sfide nel dominio cibernetico. Ma l’inevitabile rincorsa ha prodotto una  “dispersione” di impegni (e budget), da cui arriva la proposta di Brumley: “Biden e il Congresso dovrebbero riorganizzare i propri sforzi disparati in un Dipartimento centralizzato di sicurezza informatica”. Quest’ultimo dovrebbe creare “una struttura coesa” tra “persone, tecnologia e processi”, e sarebbe l’unico responsabile della cyber-security nel governo federale, seguendo “l’intero ciclo della sicurezza informatica”, dalla determinazione dei processi alla scelta di sistemi e prodotti da acquistare, fino alla risposta agli incidenti e alle operazioni difensive.

L’approccio suggerito è quello riassunto nell’acronimo “DevSecOps”, dove lo sviluppo dei sistemi IT, la loro sicurezza e le eventuali operazioni di risposta non sono pensati in ordine consequenziale, ma inseriti in un ciclo costante, integrato, che si autoalimenta sull’esperienza lungo tutta la catena della sicurezza. Ciò, secondo Brumley, dovrebbe valere per tutto il governo federale ed essere presidiato dal dipartimento per la cyber-security. Tale soluzione, spiega l’esperto, aumenterebbe l’attenzione trasversale sui requisiti di sicurezza di prodotti e servizi usati dalle amministrazioni, alimentando così anche l’impegno di fornitori e industria. Di più: “il ruolo [del dipartimento] includerebbe un chiaro mandato cyber-security defense“, ma non dovrebbe tradursi in “agenzia di law enforcement“. Ciò significa, conclude Brumley, “che il dipartimento sarebbe responsabile della difesa, ma farebbe comunque affidamento sulle forze dell’ordine esistenti per perseguire qualsiasi azione contro gli attori di minacce informatiche nazionali o stranieri”.