Nella nuova direttiva firmata dall’amministrazione Biden le agenzie federali avranno sei mesi di tempo per correggere le minacce alla sicurezza informatica rilevate tra il 2017 e il 2020.
Le agenzie federali statunitensi dovranno correggere centinaia di vulnerabilità a livello di sicurezza informatica, che sono considerate i principali rischi di intrusioni dannose nei sistemi informatici del Governo.
L’ordine, firmato dall’amministrazione Biden ieri, rappresenta uno degli ordini di sicurezza informatica più ampi mai imposti al Governo federale. Copre circa 200 falle di sicurezza note identificate dai professionisti della sicurezza informatica tra il 2017 e il 2020 e altre 90 scoperte solo nel 2021 che sono state utilizzate da hacker malintenzionati, secondo una bozza di un documento con i dettagli dell’ordine. Questi difetti saranno elencati in un nuovo catalogo federale come portatori di “rischi significativi per il Governo federale”.
La direttiva, pubblicata da Jen Easterly, direttore della Cybersecurity and Infrastructure Security Agency (Cisa) presso il dipartimento per la Sicurezza interna – si applica a tutti i dipartimenti e le agenzie del ramo esecutivo a eccezione del dipartimento della Difesa, della Central Intelligence Agency e dell’Ufficio del direttore dell’Intelligence Nazionale. La sicurezza informatica per le agenzie federali civili e’ in genere gestita separatamente rispetto alle agenzie di sicurezza militari e nazionali.
“Le organizzazioni di tutte le dimensioni, incluso il Governo federale, devono proteggersi dagli attori informatici malintenzionati che cercano di infiltrarsi nei nostri sistemi, compromettere i nostri dati e mettere in pericolo la vita degli americani”, ha affermato il segretario del Dhs (Department of Homeland Security) Alejandro Mayorkas, nella dichiarazione che accompagna la direttiva. Il nuovo ordine “richiede ai dipartimenti e alle agenzie civili federali di proteggersi dalle vulnerabilita’ critiche note, che ridurranno il rischio di intrusioni dannose e aumenteranno la nostra sicurezza informatica collettiva”.
Il Dhs in precedenza imponeva obblighi sulla sicurezza informatica alle agenzie governative, spesso sotto forma di requisiti di emergenzaper avere una soluzione immediata a un problema su un software critico utilizzato in un attacco informatico in corso. Un ordine del 2017 e’ stato emesso dall’amministrazione Trump per eliminare il software della societa’ antivirus russa Kaspersky Lab dalle reti federali a causa delle preoccupazioni di spionaggio da parte dei funzionari dell’intelligence statunitense.
L’elenco di vulnerabilità note appena rilasciato da CISA include in particolare il difetto di Microsoft Exchange Server. A marzo, le e-mail di oltre 30mila organizzazioni governative e commerciali statunitensi sono state hackerate da un gruppo cinese, grazie a quattro note falle di sicurezza che, se fossero state riparate, avrebbero impedito gli attacchi. L’elenco di CISA richiede la correzione della “vulnerabilità di esecuzione del codice remoto di Microsoft Exchange” e chiede alle agenzie federali di installare le patch SolarWinds disponibili entro maggio 2022.
Nella lista c’è anche la piattaforma Orion di Solarwinds, che è stata vittima di un grave attacco alla fine del 2020 che ha compromesso le agenzie governative degli Stati Uniti.
La sicurezza informatica è stata una priorità per il presidente Biden da quando è entrato in carica. A maggio, ha firmato un ordine esecutivo per aiutare a prevenire gli incidenti di sicurezza informatica. L’ordine impone l’autenticazione a due fattori in tutto il governo federale, stabilisce un protocollo per rispondere agli attacchi informatici e forma un comitato di revisione della sicurezza informatica. .