skip to Main Content

Vi spiego la lezione del caso Colonial Pipeline

Ghostwriter Lamorgese

Che cosa c’è da imparare dal caso Colonial Pipeline. L’articolo di Umberto Rapetto, direttore di Infosec.news

 

L’attacco alla Colonial Pipeline verrà ricordato nei libri di storia al pari dell’attentato di Sarajevo del 28 giugno 1914. Se l’uccisione dell’arciduca Francesco Ferdinando, erede al trono d’Austria-Ungheria, e sua moglie Sofia segnò l’avvio della prima guerra mondiale, l’aggressione digitale al ciclopico oleodotto che va dal Texas al New Jersey è destinato a marcare il fatidico passaggio da uno stato di belligeranza ad una condizione di guerra vera e propria.

L’Executive Order on Improving the Nation’s Cybersecurity appena firmato da Joe Biden non è diverso dalle sirene che un tempo allertavano la popolazione per un imminente bombardamento e indirizzavano la gente verso i rifugi antiaerei.

Dopo i clamorosi incidenti di sicurezza informatica come quello di SolarWinds, Microsoft Exchange e ora di Colonial Pipeline, il Presidente degli Stati Uniti emana un provvedimento che tuona come la prima dichiarazione di guerra contro un nemico invisibile.

L’insidia tecnologica (animata dal mercenariato diffuso e dalle “cyber armed forces” dei Paesi più attivi su questo campo di battaglia) non può più essere trascurata e Biden sottolinea che certi episodi manifestano l’insufficienza dell’azione federale e la necessità di una reale ed efficace cooperazione con il settore privato che possiede e gestisce gran parte delle infrastrutture critiche interne agli Stati Uniti.

Il fatto che le società decidano autonomamente in merito agli investimenti in sicurezza informatica deve essere superato con l’avvio di un programma di azione coordinato che porti ad aumentare e allineare gli sforzi organizzativi, tecnici e finanziari con l’obiettivo di ridurre al minimo il rischio di catastrofi future.

“AI POSTI DI COMBATTIMENTO”

In primo luogo occorre rimuovere gli ostacoli alla condivisione delle informazioni sulle minacce tra governo e settore privato. Secondo l’Executive Order i fornitori di servizi ITC devono essere in grado di condividere le informazioni con il Governo garantendo un costante aggiornamento sulle minacce rilevate e sulle violazioni dei sistemi verificatesi.

È fondamentale eliminare la riluttanza di chi fornisce servizi informatici a confessare situazioni imbarazzanti ed è diventata urgente la condivisione “volontaria” di tutte le informazioni disponibili su eventuali compromissioni di sistemi di elaborazione dati e reti di comunicazione.

Biden parla chiaro. Certi silenzi dovuti ad obblighi contrattuali o ad altri accordi tra privati devono sparire e deve maturare la convinzione che un dialogo immediato e trasparente con le istituzioni governative può consentire la più tempestiva adozione di misure di sicurezza in grado di salvaguardare la Nazione nel suo complesso.

L’Executive Order rimarca il ruolo del Governo federale nella protezione dei servizi “cloud” e dell’architettura “zero-trust” ed impone l’implementazione dell’autenticazione a più fattori e della crittografia: il testo manifesta la consapevolezza che modelli di sicurezza obsoleti e dati non cifrati hanno portato alla profonda compromissione dei sistemi informatici “più delicati” nei settori pubblico e privato.

Tra i punti cardine del provvedimento c’è il rafforzamento della protezione della catena di fornitura del software. Dovranno essere stabiliti e consolidati standard di sicurezza per lo sviluppo di programmi ed applicazioni destinati ad essere utilizzati dalle entità governative. Sarà richiesto agli sviluppatori di dare la massima visibilità su istruzioni e codici inseriti nel software con particolare riguardo a quanto costituisce la struttura di sicurezza.

Si deve innescare un processo pubblico-privato per sviluppare approcci nuovi e innovativi e dar vita al programma pilota per creare un tipo di etichetta “Energy Star” in modo che il governo – e il mondo pubblico in generale – possa determinare rapidamente se il software è stato sviluppato in modo sicuro.

“È troppo il software, incluso quello critico, che viene fornito con vulnerabilità significative sfruttate dai nostri avversari” dice testualmente il comunicato stampa della Casa Bianca.

LA NECESSITÀ DI UN COMITATO E DI UNA “CASSETTA DI PRONTO SOCCORSO!

L’ordine esecutivo istituisce un comitato di revisione della sicurezza informatica, co-presieduto da leader del governo e del settore privato, che può riunirsi a seguito di un incidente informatico significativo per analizzare l’accaduto e formulare raccomandazioni concrete per migliorare la sicurezza informatica.

Si è coscienti che troppo sovente le organizzazioni ripetono gli errori del passato, non apprendono le drammatiche lezioni dalle brutte esperienze, non si pongono le domande scomode che richiedono risposte ancor più dolorose, faticano ad apportare modifiche e miglioramenti.

L’idea prende spunto dal modello del National Transportation Safety Board, l’organismo che entra in campo dopo incidenti aerei e altri disastri, e si basa sulla creazione di un “playbook standard” (ovvero sulla predisposizione di rimedi modulari preconfezionati e personalizzabili) in grado di attivare una replica rapida con un sufficiente livello di copertura del problema con iniziative uniformi e collaudate volte a identificare e a contrastare i pericoli emergenti.

Particolare attenzione è richiesta alle attività di “detection”, ovvero quelle mirate a rilevare le situazioni di crisi, a circoscrivere gli incidenti, a prevedere operazioni dannose che possono compromettere le Reti pubbliche e private e tutte le risorse informative del tessuto connettivo digitale americano.

Lentezza, sovrapposizione, mancato coordinamento: sono questi i fattori che espongono un Paese al rischio di aggressione cibernetica e solo un disegno armonico e condiviso ai più diversi livelli può rasserenare il futuro.

E DA NOI?

Ci si augura che anche dalle nostre parti qualcuno trovi il tempo di leggere l’Executive Order e magari di prenderne spunto.

I cambiamenti ai vertici dell’intelligence nazionale possono essere l’occasione per riconsiderare lo scenario e per prendere – finalmente – atto delle urgenze, delle priorità e soprattutto del tempo perso finora in chiacchiere, convegni, protocolli d’intesa e altre “inutilia” di varia natura.

Articolo pubblicato su infosec.news

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore

Back To Top

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore