Il 12 maggio 2021 il presidente Biden ha firmato un ordine esecutivo per migliorare la sicurezza informatica della nazione e proteggere le reti del governo federale. Recenti incidenti di sicurezza informatica come SolarWinds, Microsoft Exchange e l’incidente del Colonial Pipeline sono un promemoria che fa riflettere che le entità del settore pubblico e privato degli Stati Uniti devono affrontare sempre più sofisticate attività informatiche dannose da parte di attori dello stato nazionale e criminali informatici. Questi incidenti condividono punti in comune, comprese le difese di sicurezza informatica insufficienti che rendono gli enti del settore pubblico e privato più vulnerabili agli incidenti.
L’ordine esecutivo è strutturato in 11 sezioni. Vediamo gli aspetti principali, rimandando al testo integrale (in inglese ed in italiano).
Ordine esecutivo sul miglioramento dellasicurezza informatica della nazione
Cybersecurity
Sec. 2. Rimozione degli ostacoli alla condivisione delle informazioni sulle minacce.
Il governo federale stipula un contratto con i fornitori di tecnologia dell’informazione (IT) e tecnologia operativa (OT) per condurre una serie di funzioni quotidiane sui sistemi informativi federali. Questi fornitori di servizi, inclusi i fornitori di servizi cloud, hanno un accesso unico e una visione delle informazioni sulle minacce informatiche e sugli incidenti sui sistemi informativi federali.
Di conseguenza i fornitori di servizi:
(i) raccolgono e conservano dati, informazioni e rapporti per la prevenzione, il rilevamento, la risposta e l’indagine di eventi di sicurezza informatica su tutti i sistemi di informazione sui quali hanno il controllo, compresi i sistemi gestiti per conto delle agenzie, in linea con i requisiti delle agenzie;
(ii) condividono tali dati, informazioni e rapporti, in quanto si riferiscono a incidenti informatici o potenziali incidenti rilevanti per qualsiasi agenzia con cui hanno stipulato un contratto, direttamente con tale agenzia e qualsiasi altra agenzia che il Direttore di OMB, in consultazione con il Segretario della Difesa, il Procuratore generale, il Segretario per la sicurezza interna e il Direttore dell’intelligence nazionale, ritengono appropriato, coerente con le leggi, i regolamenti e le politiche sulla privacy applicabili;
(iii) collaborano con le agenzie di sicurezza informatica o investigative federali nelle loro indagini e risposte a incidenti o potenziali incidenti sui sistemi di informazione federali, anche implementando capacità tecniche, come il monitoraggio delle reti per le minacce in collaborazione con le agenzie che supportano, se necessario; e
(iv) condividono le informazioni sulle minacce informatiche e sugli incidenti con le agenzie, facendo ciò, ove possibile, in formati riconosciuti dal settore per la risposta agli incidenti e la riparazione.
Per stare al passo con l’attuale ambiente dinamico e sempre più sofisticato delle minacce informatiche, il governo federale deve adottare misure decisive per modernizzare il suo approccio alla sicurezza informatica, anche aumentando la visibilità del governo federale sulle minacce, proteggendo la privacy e le libertà civili. Il governo federale deve adottare le migliori pratiche di sicurezza; avanzare verso Zero Trust Architecture; accelerare il passaggio alla protezione dei servizi cloud, inclusi Software as a Service (SaaS), Infrastructure as a Service (IaaS) e Platform as a Service (PaaS).
Sec. 3. Modernizzazione della sicurezza informatica del governo federale.
La sicurezza del software utilizzato dal governo federale è vitale per la capacità del governo federale di svolgere le sue funzioni critiche. Lo sviluppo di software commerciale spesso manca di trasparenza, sufficiente attenzione alla capacità del software di resistere agli attacchi e controlli adeguati per prevenire la manomissione da parte di malintenzionati.
Sec. 4. Migliorare la sicurezza della catena di fornitura del software.
Saranno definite e pubblicate le linee guida che raccomandano gli standard minimi per i il codice sorgente del software, inclusa l’identificazione dei tipi consigliati di test manuali o automatici (come strumenti di revisione del codice, analisi statica e dinamica, strumenti di composizione del software e test di penetrazione).
Sec. 5. Istituire un comitato di revisione della sicurezza informatica.
Il Segretario per la sicurezza interna, in consultazione con il Procuratore generale, istituirà il Comitato di revisione della sicurezza informatica (Consiglio).
Rif: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/