CSIS pubblica raccomandazioni sulla sicurezza informatica del governo

Il governo degli Stati Uniti dovrebbe revisionare il suo approccio alla sicurezza informatica, con nuove e radicali regolamentazioni per le imprese private e un nuovo ufficio centralizzato di cybersecurity alla Casa Bianca, un gruppo di esperti all-star raccomandato Lunedì.

L'ufficio della Casa Bianca è necessario perché il Dipartimento della Sicurezza Nazionale degli Stati Uniti non è in grado di proteggere il governo degli Stati Uniti dagli attacchi informatici, secondo il rapporto della Commissione sulla sicurezza informatica del Centro per le strategie e gli studi internazionali (CSIS) per la 44a presidenza. Molti membri della commissione "ritenevano che lasciare una qualsiasi funzione cyber al DHS avrebbe comportato il fallimento di tale funzione", secondo il rapporto.

Inoltre, il rapporto richiede nuovi regolamenti governativi incentrati sulla protezione delle reti statunitensi. Molti di questi regolamenti si concentrerebbero sul perfezionamento degli sforzi del governo per proteggere la propria infrastruttura informatica, ma sono necessari anche i regolamenti sull'industria privata, secondo il rapporto.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Il rapporto ha respinto l'approccio guidato dal mercato alla sicurezza informatica avanzata dal presidente degli Stati Uniti George Bush. "La strategia ha essenzialmente abbandonato la difesa cibernetica verso forze di mercato ad hoc", afferma il rapporto. "In nessun'altra area della sicurezza nazionale dipendiamo da sforzi privati ​​e volontari, riteniamo che il cyberspazio non possa essere garantito senza regolamentazione".

Sono necessarie nuove normative per le industrie IT, delle finanze e dell'energia, nonché per il controllo di supervisione e sistemi di acquisizione dati (SCADA), afferma il rapporto. Inoltre, il governo degli Stati Uniti ha bisogno di cambiare le sue regole di acquisizione per concentrarsi maggiormente sulla sicurezza informatica e gli Stati Uniti devono richiedere credenziali di autenticazione delle identità nei settori IT, energia e finanza, nonché nei servizi governativi.

Il governo dovrebbe anche consentire ai residenti privati ​​di utilizzare le credenziali informatiche rilasciate dal governo per le loro attività online, si raccomanda la segnalazione.

Il rapporto suggerisce che il governo degli Stati Uniti ha diversi passi importanti che è necessario intraprendere per affrontare le carenze di sicurezza informatica. "La sicurezza informatica è tra le più serie sfide economiche e di sicurezza nazionale che affronteremo nel XXI secolo", ha scritto James Lewis, direttore del programma CSIS per la tecnologia e le politiche pubbliche. "Le nostre ricerche e le interviste per questo rapporto hanno chiarito che affrontiamo una sfida a lungo termine nel cyberspazio da parte di agenzie di intelligence straniere, militari, criminali e altri, e che questa lotta causerà gravi danni alla salute economica e alla sicurezza nazionale Stati Uniti a meno che non rispondiamo vigorosamente. "

Il DHS, che è stata l'agenzia principale focalizzata sulla sicurezza informatica, può essere rafforzato, afferma il rapporto. Ma "la natura dei nostri avversari, gli attacchi che affrontiamo nel cyberspazio e il crescente rischio per la sicurezza nazionale ed economica significano che la completa sicurezza informatica non rientra nell'ambito delle competenze del DHS", afferma il rapporto. "Il DHS non è l'agenzia che conduce in conflitto con agenzie di intelligence straniere o militari o criminali informatici internazionali ben organizzati."

La sicurezza informatica non è più un problema di sicurezza nazionale o di infrastrutture critiche, ha aggiunto il rapporto di 96 pagine. "Questo è uno scopo troppo ristretto", afferma il rapporto. "La sicurezza informatica non è più (se mai lo è stata) una questione interna: è una questione di sicurezza internazionale in cui gli attori principali sono l'intelligence e le forze militari di altre nazioni."

Il rapporto raccomanda che il DHS mantenga la responsabilità per il US Computer di prontezza d'emergenza (US-CERT) e relative funzioni, ma un nuovo Ufficio nazionale del Cyberspace della Casa Bianca coordinerebbe e supervisionerà gli sforzi di sicurezza informatica a livello governativo. In questo momento, il governo degli Stati Uniti ha centinaia di persone che lavorano su questioni di sicurezza informatica, e questo "assomiglia troppo spesso a una grande flotta di auto paraurti ben intenzionate", afferma il rapporto.

Un portavoce del DHS non ha risposto immediatamente a una richiesta di commenti sul rapporto CSIS.

I membri della commissione hanno detto a settembre che raccomanderebbero di rimuovere l'autorità di cybersecurity dal DHS. "Siamo sotto attacco e stiamo subendo danni", ha detto Lewis a una sottocommissione della Camera dei rappresentanti. "Gli Stati Uniti sono disorganizzati e mancano di una strategia nazionale coerente [di sicurezza informatica]".

Il rapporto raccomanda inoltre che:

- Il governo degli Stati Uniti crei una nuova strategia nazionale di sicurezza informatica che includa diplomazia, azioni militari, cambiamenti nella politica e il coinvolgimento dell'intelligence americana e dei funzionari delle forze dell'ordine.

- Il presidente eletto Barack Obama ha posto l'accento sul governo che lavora con il settore privato, con responsabilità chiaramente definite e un'enfasi sulla costruzione della fiducia con il settore privato.

- Il Congresso degli Stati Uniti incrementa la spesa per la ricerca sulla cibersicurezza e crea un programma di borse di studio per incoraggiare più studenti statunitensi a ottenere lauree in sicurezza informatica.

"Siamo in una lotta a lungo termine con criminali, agenzie di intelligence straniere, forze armate e altri con cui sono intimamente e inevitabilmente connessi attraverso una rete digitale globale ", afferma il rapporto. "Questa lotta infligge ogni giorno più danni reali alla salute economica e alla sicurezza nazionale degli Stati Uniti di qualsiasi altra minaccia".

CSIS, un pensionato indipendente di Washington, DC, ha lanciato la commissione per la sicurezza informatica nell'agosto 2007 in uno sforzo per fare raccomandazioni al prossimo presidente degli Stati Uniti. Più di 40 esperti di cybersecurity, tra cui impiegati di IBM, Oracle, Sun Microsystems, EMC e AT & T, hanno lavorato alla commissione.