Il Dipartimento della Sicurezza Interna (DHS) comunica la chiusura di tutti i comitati consultivi, tra cui il “CSRB”, istituito nel 2021 per indagare su eventi significativi in materia di sicurezza cibernetica. Con inevitabili implicazioni sulla cybersecurity degli Stati Uniti.
Addio al Cyber Safety Review Board. L’argomento, assai dibattuto, dell’approccio di Donald Trump alla cybersecurity statunitense trova una sua (prima) risposta nel colpo di spugna della nuova amministrazione, che sta avviando una serie di cambiamenti nel governo federale.
Iniziative tutt’altro che marginali, come quella di sciogliere tutti i comitati consultivi del Dipartimento della Sicurezza Interna (U.S. Department of Homeland Security), incluso – scrive Cyber Daily – il Cyber Safety Review Board (CSRB). La nota esecutiva, con data 20 gennaio 2025, porta la firma di Benjamine C. Huffman, segretario ad interim del DHS. Una scelta che avrà dei riflessi importanti in materia di cybersecurity nazionale.
Il Cyber Safety Review Board nasce nel 2021 per indagare su eventi rilevanti nell’ambito della sicurezza cibernetica. In particolare, il “CSRB” è stato responsabile di analisi relative a vulnerabilità critiche come il bug Log4Shell. Conosciuta anche come vulnerabilità Log4J, rappresenta una criticità RCE (Remote Code Execution) presente in alcune versioni della libreria Java Apache Log4J 2. “Log4Shell” permette ai criminal hacker di eseguire ogni codice sui sistemi interessati, assicurando il controllo completo di app e dispositivi.
E ancora, il Cyber Safety Review Board si è occupato a fondo di minacce informatiche come le estorsioni del gruppo criminale Lapsus$, che a marzo del 2022 ha rivendicato la violazione di circa 37 GB di dati da un server Azure DevOps di Microsoft, rilasciando online 9 GB di codice sorgente relativo ad alcuni progetti (tra i quali Cortana e Bing).
Strategia per la razionalizzazione delle risorse
Nonostante il Dipartimento della Sicurezza Interna abbia motivato la scelta come “razionalizzazione delle risorse per adeguarsi agli obiettivi di sicurezza cibernetica”, la chiusura del Cyber Safety Review Board sta suscitando disapprovazione da parte di esperti e addetti ai lavori (il senatore democratico Ron Wyden parla a Reuters di “enorme regalo ai cinesi”), che ritengono questa decisione un passo indietro nel contrasto alle nuove cyber minacce.
L’ordine esecutivo del 21 maggio 2021 firmato da Joe Biden introduceva l’Executive Order on Improving the Nation’s Cybersecurity (n. 14028) con l’obiettivo di rafforzare le difese informatiche. Tra i fondamentali proposti, emerge l’istituzione di un comitato di revisione della sicurezza cibernetica – il “CSRB” appunto – presso il Dipartimento della Sicurezza Interna, per il quale i settori pubblico (Dipartimento della Difesa, Dipartimento della Giustizia, NSA, FBI e la già citata CISA) e privato devono riunirsi a seguito di attacchi significativi per analizzare l’evento e predisporre le azioni necessarie di difesa.
Decisione dalle implicazioni profonde
È inutile girarci attorno: le implicazioni di decisioni come quella relativa al Cyber Safety Review Board sono profonde e destano apprensione su un (eventuale) allentamento dei controlli. Creando maggiori rischi per le infrastrutture critiche degli Stati Uniti. Per entrare nello specifico, la soppressione dei comitati consultivi del DHS potrebbe limitare la capacità del governo di replicare subito a crisi emergenti (come cyberattacchi su larga scala).
Un esempio che torna alla mente è il data leak del Pentagono che, nell’aprile del 2023, ha messo in crisi l’intelligence degli Stati Uniti. Soprattutto, lo ribadiamo, i sigilli al Cyber Safety Review Board destano preoccupazione sul fatto che il governo possa smarrire una fondante risorsa per esaminare (e risolvere) vulnerabilità critiche. Perseguendo, in parallelo, le sue politiche informatiche aggressive contro Cina, Russia, Iran e Corea del Nord.
