Commissione di revisione per la sicurezza informatica: Ritardo nella creazione di un nuovo organo di sicurezza informatica degli Stati Uniti suscita preoccupazione

Commissione di revisione per la sicurezza informatica: Ritardo nella creazione di un nuovo organo di sicurezza informatica degli Stati Uniti suscita preoccupazione

È una parte fondamentale dei piani del presidente Joe Biden per combattere i grandi attacchi ransomware e le campagne di spionaggio digitale: creare un consiglio di esperti che indaghi sui grandi incidenti per vedere cosa è andato storto e cercare di evitare che i problemi si ripetano – un po’ come fa un consiglio di sicurezza dei trasporti con gli incidenti aerei.

Ma otto mesi dopo che Biden ha firmato un ordine esecutivo che crea il Cyber Safety Review Board non è ancora stato istituito. Ciò significa che i compiti critici non sono stati completati, compresa un’indagine sulla massiccia campagna di spionaggio SolarWinds scoperta più di un anno fa. Gli hacker russi hanno rubato dati da diverse agenzie federali e aziende private.

Alcuni sostenitori del nuovo consiglio dicono che il ritardo potrebbe danneggiare la sicurezza nazionale e viene in mezzo a crescenti preoccupazioni di un potenziale conflitto con la Russia sull’Ucraina che potrebbe coinvolgere cyberattacchi di stato-nazione. L’FBI e altre agenzie federali hanno recentemente rilasciato un avviso – rivolto in particolare alle infrastrutture critiche come i servizi pubblici – sui metodi e le tecniche degli hacker dello stato russo.

“Non riusciremo mai a superare queste minacce se ci mettiamo quasi un anno per organizzare semplicemente un gruppo per indagare su violazioni importanti come SolarWinds”, ha detto il senatore Mark Warner, un democratico della Virginia che guida la commissione intelligence del Senato. “Un tale ritardo è dannoso per la nostra sicurezza nazionale ed esorto l’amministrazione ad accelerare il suo processo”.

L’ordine del presidente Biden, firmato a maggio, dà al consiglio 90 giorni per indagare sull’hack di SolarWinds una volta che è stato istituito. Ma non c’è una scadenza per la creazione del consiglio stesso, un lavoro designato al Segretario del Dipartimento della Sicurezza Nazionale Alejandro Mayorkas.

In risposta alle domande di The Associated Press, DHS ha detto in una dichiarazione che era molto avanti nella creazione e ha anticipato un “annuncio a breve termine”, ma non ha affrontato il motivo per cui il processo ha richiesto così tanto tempo.

Scott Shackelford, il presidente del programma di cybersicurezza all’Università dell’Indiana e un sostenitore della creazione di una commissione di revisione informatica, ha detto che avere uno studio rigoroso su ciò che è accaduto in un hack passato come SolarWinds è un modo per aiutare a prevenire attacchi simili.

“Sicuramente ci sta prendendo, mio Dio, un bel po’ di tempo per farlo partire”, ha detto Shackelford. “È certamente passato il tempo in cui potremmo vedere alcuni benefici positivi dall’averlo messo in piedi”.

L’amministrazione Biden ha fatto del miglioramento della sicurezza informatica una priorità assoluta e ha preso provvedimenti per rafforzare le difese, ma questa non è la prima volta che i legislatori sono stati insoddisfatti del ritmo dei progressi. L’anno scorso diversi legislatori si sono lamentati che l’amministrazione ha impiegato troppo tempo per nominare un direttore nazionale cyber, una nuova posizione creata dal Congresso.
L’hack SolarWinds ha sfruttato le vulnerabilità nel sistema della catena di fornitura del software ed è passato inosservato per la maggior parte del 2020, nonostante i compromessi in un’ampia fascia di agenzie federali e decine di aziende, soprattutto di telecomunicazioni e fornitori di tecnologia dell’informazione. La campagna di hacking si chiama SolarWinds, come la società di software statunitense il cui prodotto è stato sfruttato nella prima fase di infezione di questo sforzo.

L’hack ha evidenziato l’abilità dei russi nel raggiungere obiettivi di alto livello. L’AP ha precedentemente riferito che gli hacker di SolarWinds avevano ottenuto l’accesso alle e-mail appartenenti all’allora segretario alla sicurezza interna Chad Wolf.

L’amministrazione Biden ha tenuto nascosti molti dei dettagli sulla campagna di cyber-spionaggio.

Il Dipartimento di Giustizia, per esempio, ha detto a luglio che 27 uffici di procura degli Stati Uniti in tutto il paese hanno avuto almeno un account di posta elettronica di un dipendente compromesso durante la campagna di hacking. Non ha fornito dettagli su che tipo di informazioni sono state prese e quale impatto tale hacking può aver avuto sui casi in corso.

Lo staff di New York della Divisione Antitrust del DOJ ha anche avuto file rubati dagli hacker di SolarWinds, secondo un ex funzionario senior informato sull’hacking che non è stato autorizzato a parlarne pubblicamente e ha richiesto l’anonimato. Questa violazione non è stata precedentemente riportata. La Divisione Antitrust indaga sulle aziende private e ha accesso a dati aziendali altamente sensibili.

Il governo federale ha intrapreso revisioni della violazione SolarWinds. Il Government Accountability Office ha pubblicato un rapporto questo mese sulla violazione SolarWinds e un altro grande incidente di hacking che ha scoperto che a volte c’era un processo lento e difficile per la condivisione delle informazioni tra le agenzie governative e il settore privato, Il Consiglio di sicurezza nazionale ha anche condotto una revisione della violazione SolarWinds l’anno scorso, secondo il rapporto GAO.

Ma avere il nuovo consiglio di condurre un esame indipendente e approfondito dell’hack SolarWinds potrebbe identificare le lacune di sicurezza poco appariscenti e le questioni che gli altri potrebbero non aver notato, ha detto Christopher Hart, un ex presidente del National Transportation Safety Board che ha sostenuto la creazione di un consiglio di revisione cyber.