lunedì 7 giugno 2021

La svolta del governo statunitense contro i ransomware potrebbe essere una grande lezione per noi

Non è tutta "colpa" dell'attacco ransomware al gasdotto Colonial Pipeline, ma non è improprio dire che quell'evento sia stato la goccia che ha fatto traboccare il vaso e portato il Governo degli Stati Uniti ad impugnare sul serio le armi contro la minaccia ransomware: minaccia che, per scelta di Biden, è divenuta un affare di sicurezza nazionale che si interseca con le relazioni estere e la politica internazionale. 

D'altronde scoprire che milioni di statunitensi hanno rischiato di rimanere senza carburanti mentre il prezzo del gasolio superava per la prima volta i 3 dollari al litro, tutto a causa di una password VPN rubata e acquistata nel dark web (questa pare essere stata la breccia sfruttata dai gestori del ransomware Darkside per violare la rete del sistema Colonial Pipeline) è un duro colpo: da una sola password può dipendere l'approvvigionamento di carburante o acqua a milioni di persone, da una sola falla può dipendere l'efficienza o meno di un ospedale o di un interno sistema sanitario (come tristemente ci insegna la vicenda che ha riguardato il sistema sanitario irlandese). 

La nuova strategia antiransomware del governo USA

Il Presidente Biden, poco dopo l'attacco al Colonial Pipeline, oltre a dichiarare lo stato di emergenza ha firmato un ordine esecutivo per mettere in sicurezza le infrastrutture critiche USA: scopo di questo atto è stato quello di rafforzare la resilienza sia di autorità ed enti pubblici che delle imprese private.  A partire da un punto: la condivisione delle esperienze. L'ordine infatti prevede che i provider di servizi IT condividano le informazioni relative ai cyber attacchi con il Governo federale. 

Conoscere il nemico è fondamentale per sapersi difendere e quindi scegliere i migliori strumenti: nulla viene lasciato al caso e la lista delle "misure urgenti e necessarie" è chiara:

  • autenticazione a due o più fattori;
  • architettura delle reti "Zero Trust";
  • adozione di tecnologie cloud quali Software as a Service (SaaS); Infrastructure as a Service (IaaS) e Platform as a Service (PaaS); 
  • formazione del personale;
  • patch management per mantenere i sistemi sempre aggiornati e sicuri. 

Ma non finisce qui: l'ordine parla apertamente dell'urgenza della messa in sicurezza delle supply chain. D'altronde, l'attacco al Colonial Pipeline non è stato l'unico duro colpo subito dagli USA: il supply chain attack che ha visto protagonista la piattaforma SolarWind di Orion ha reso chiaro come basti un punto di accesso per raggiungere in maniera capillare le reti di centinaia di migliaia di aziende ed enti. E se questo rischio è vero in generale, ancora di più lo è per quei servizi critici usati dalle agenzie federali. Ecco che Biden ha previsto quindi specifici standard per i software che verranno adottati dal Governo: standard che, se non rispettati, saranno discriminanti sulla possibilità di adozione dei software. 

Infine è stato istituito il Cyber Satety Review Board, composto da esponenti incaricati dal governo e di aziende private, che sarà convocato in caso di attacco informatico di  livello rilevante o critico: il Board dovrà analizzare l'evento e valutare possibili soluzioni, elaborando anche un protocollo per la messa in sicurezza informatica della rete / delle reti colpite. 

L'ordine esecutivo non basta
Inutile dire come l'ordine esecutivo, che comunque traccia degli obblighi piuttosto chiari, sia in realtà una specie di toppa per tappare un buco che, però, ha bisogno di una soluzione duratura. Soluzione duratura che non può essere diversa da una vera e propria nuova strategia di gestione della cybesecurity. A partire dalle aziende: l'amministrazione Biden ha chiesto a tutte le aziende americane di seguire gli standard di sicurezza che il governo stesso impone alle agenzie federali e ai suoi fornitori. Una novità non da poco, in un sistema che,  fino ad ora, ha previsto la totale libertà da parte delle aziende private in termini standard di cyber security e data protection. 

Per la prima volta poi Biden ha annunciato che la Casa Bianca è già al lavoro per organizzare un sistema di tracciamento dei pagamenti in criptovaluta, notoriamente usati dai cyber criminali per estorsioni anonime: la volontà è quella di arrivare a bloccare i pagamenti legati ad estorsioni da cyber attacchi (la doppia estorsione dei ransomware), ma anche quella di imporre policy di trasparenza agli exchange di criptovaluta. 

La questione  si internazionalizza: il problema non è di un singolo Stato
L'ultimo punto della strategia messa in campo da Biden è quella di intervenire direttamente contro i gruppi di cyber criminali: gruppi che, per quanto riguarda gli attacchi subiti in Occidente, hanno spesso sede in paesi come Russia, Cina, Corea del Nord ecc.. Impossibile quindi sgominare queste bande senza la collaborazione dei paesi in cui hanno sede: del tema Biden e Putin discuteranno il 16 Giugno. Insomma accordi bilaterali in vista, ma sarà da vedere di che tipologia ed entità: sono sempre più forti e insistenti le voci che chiedono al Governo statunitense di equiparare u attacco ransomware ad un atto di terrorismo

Eppur si muove: anche l'Italia verso la guerra ai ransomware e al cybercrime
Una parte del PNRR promosso dal Governo Draghi va proprio nella direzione (anzi qui siamo ad una vera e propria rincorsa) di dotare il nostro paese di strutture, infrastrutture e una governance che sia all'altezza dei tempi. Il PNRR arriva infatti proprio mentre è in corso l'approvazione dei vari decreti attuativi necessari al completamento del Perimetro di cyber security nazionale (ne abbiamo parlato qui e qui più specificatamente), mentre si fa sempre più strada la volontà di creare una agenzia di cyber security nazionale separata dal DIS. 

Nessun commento:

Posta un commento