Washington pubblica la sua National Cybersecurity Strategy: più azioni sul mercato, che non premia l'affidabilità, e contro i threat actor globali
Non è la nostra - nel senso di italiana o europea - strategia per la cyber security, ma sarà impossibile ignorarne gli impatti sullo scenario della sicurezza IT e della gepolitica digitale globale. Parliamo della National Cybersecurity Strategy che gli Stati Uniti hanno da poco pubblicato. Una quarantina di pagine in cui si spiega come Washington ha intenzione di muoversi nel prossimo futuro.
La strategia USA avrà impatti generalizzati per due motivi principali. Il primo è che la visione della cyber security dell'Amministrazione Biden si tradurrà in normative e iniziative che influenzeranno aziende private i cui prodotti e servizi toccano spesso tutto il mondo. Che si tratti di produttori hardware o di cloud provider, molte realtà dovranno gestire in modo nuovo gli aspetti di cyber security.
Il secondo motivo è di geopolitica. I cyber attacchi più rilevanti sono condotti da Stati-nazione o da organizzazioni cyber-criminali con un respiro internazionale. Il modo in cui gli Stati Uniti decidono di rispondere a queste minacce riguarda tutti, anche perché la risposta più efficace alle minacce non può che essere coordinata a livello internazionale.
Da questo punto di vista Washington non si tira indietro e fa nomi ben precisi. La Cina è "la minaccia più ampia, attiva e persistente alle reti del settore privato e di quello pubblico", oltre ad essere l'unica nazione che intende modificare l'ordine internazionale e che ha i mezzi per farlo. La Russia resta una minaccia cyber costante, mentre Iran e Corea del Nord stanno incrementando le loro azioni cyber ostili. E oltrea agli Stati-nazione ci sono i "sindacati criminali, che ora rappresentano una minaccia alla sicurezza nazionale".
La strategia governativa degli USA prevede cinque "pilastri" fondamentali. Tra i più importanti c'è la difesa delle infrastrutture critiche, per le quali non basta evidentemente più la (presupposta) buona volontà di chi le gestisce. "La mancanza di requisiti obbligatori ha dato risultati inadeguati e incoerenti", si sottolinea. Motivo per cui bisogna ora definire specifici requisiti di cyber security per i settori critici.
Le norme però non bastano. Per difendere le infrastrutture critiche serve anche un approccio collaborativo, in cui tutti coloro che sono in qualche modo coinvolti in questa difesa abbiano ruoli precisi, si scambino informazioni e operino in modo coordinato. Serve cioè una grande sinergia tra pubblico e privato: una buona idea che sinora si è scontrata, non solo negli USA, con la frammentazione delle responsabilità e delle competenze.
La National Cybersecurity Strategy collega immediatamente il pilastro della difesa delle infrastrutture con quello della reazione agli attacchi. Una reazione anche preventiva, perché l'obiettivo è che i "threat actor" vengano semplicemente smantellati. Con mezzi legali, diplomatici, di intelligence, militari o economici... poco importa.
Le azioni contro i threat actor devono essere abbastanza intense e costanti da fare in modo che "le attività cyber criminali siano rese non profittevoli" e che i gruppi sponsorizzati da Stati-nazione non possano più considerare i loro attacchi cyber come "un mezzo efficace per conseguire i loro obiettivi". Anche qui serve una grande collaborazione tra pubblico e privato, perché sono proprio le grandi realtà del privato ad avere la migliore visibilità sulle attività dei threat actor.
Un punto importante messo in evidenza è che gli attaccanti quasi sempre usano, per le loro azioni, risorse IT e servizi che sono erogati da aziende americane. Questo "abuso" delle infrastrutture e dei servizi USA deve finire, perciò i cloud/service provider americani devono sforzarsi di blindare le loro infrastrutture contro usi impropri.
In linea con la tradizione pragmatica delle politiche USA, Washington afferma che dovrebbe essere il mercato a spingere verso l'adozione delle migliori pratiche di cyber security. Così però non è stato, perché le aziende private che non hanno investito in sicurezza troppo spesso non ne hanno subìto vere conseguenze negative. Ora bisogna - ed è un altro pilastro della nuova strategia - porvi rimedio "guidando" opportunamente il mercato.
Per questo nasceranno normative che imporranno limiti chiari "alla possibilità di raccogliere, usare, trasferire e gestire dati personali". E per dare una forte protezione ai dati sensibili, come quelli sanitari. Uno sforzo normativo mirato sarà fatto per la messa in sicurezza dei dispositivi IoT, che troppo spesso hanno configurazioni inadeguate e sono difficili, se non impossibili, da aggiornare.
Un po' più vago - probabilmente perché qui le forze di mercato sono molto più difficili da pilotare - è l'impegno a definire nuove leggi che regolino la responsabilità di chi produce software e servizi. Il mercato ha persino premiato chi non si preoccupava della cyber security e negava per contratto la responsabilità dei suoi prodotti, spiega Washington, e servono quindi azioni correttive. Ma questa appare una battaglia ardua, in un Paese in cui qualsiasi norma in più a tutela dei consumatori viene bollata come freno all'innovazione.
Un altro punto chiave da affrontare, come quarto pilastro della strategia di difesa, è iniziare da subito a mettere in sicurezza le tecnologie che saranno adottate nel prossimo futuro. Questo potenziando la ricerca in cyber security ma anche esaminando attentamente il lavoro degli organismi internazionali di standardizzazione, dove "i regimi autocratici" - il riferimento, stavolta implicito, è praticamente solo alla Cina - lavorano per ridurre l'impostazione aperta e trasparente delle tecnologie, Internet in primis.
Nella visione in avanti della strategia USA, due temi tecnologici in particolare hanno un loro spazio specifico. Uno è lo sviluppo di tecnologie di cifratura "quantum safe", che deve essere portato avanti insieme alla veloce dismissione delle piattaforme e delle soluzioni che potrebbero invece essere "craccate" dal quantum computing. L'altra è la spinta allo sviluppo di una piattaforma trasversale di identità digitali, considerata come essenziale per agevolare i cittadini e metterli al sicuro da minacce come il furto di identità.
Infine, ultimo pilastro: la collaborazione internazionale per la lotta a qualsiasi minaccia cyber. Qui grandi novità da mettere sul piatto non ce ne sono, in realtà, perché l'azione internazionale degli USA si muove nel solco dei patti di collaborazione già stipulati o delle norme e delle consuetudini di organizzazioni come la NATO o le Nazioni Unite. Qualcosa si può migliorare, ma la sostanza della collaborazione cyber globale non è facile da cambiare.