La legislazione creerebbe nuovi regolamenti sulla sicurezza informatica

Due senatori statunitensi hanno introdotto una legislazione che dovrebbe revisionare gli sforzi di sicurezza informatica della nazione e, secondo quanto riferito, consentirebbero al governo di regolare per la prima volta alcuni sforzi di sicurezza informatica delle compagnie private.

Il senatore Jay Rockefeller, un democratico della Virginia Occidentale e il senatore Olympia Snowe, un repubblicano del Maine, hanno introdotto la legislazione mercoledì ma alcuni i dettagli non erano immediatamente disponibili. Mercoledì scorso, il Washington Post ha riferito che la legislazione includerà nuovi mandati sulle reti governative e sulle reti private che controllano le reti elettriche, la distribuzione dell'acqua e altri servizi essenziali.

Una portavoce per il Senato Commissione Commercio, Scienza e Trasporti, di cui Rockefeller è presidente, ha detto mercoledì che aveva pochi dettagli sul conto mercoledì pomeriggio. Il progetto di legge istituirebbe un nuovo consulente nazionale per la sicurezza informatica nell'ufficio esecutivo del presidente Barack Obama, e "rifarebbe il rapporto tra governo e settore privato sulla cibersicurezza", ha detto un comunicato stampa della commissione.

[Ulteriori letture: come per rimuovere il malware dal PC Windows]

"Dobbiamo proteggere la nostra infrastruttura critica a tutti i costi, dalla nostra acqua alla nostra elettricità, alle banche, ai semafori e alle cartelle cliniche elettroniche, l'elenco continua", ha detto Rockefeller in una dichiarazione. "È riduttivo affermare che la sicurezza informatica è una delle questioni più importanti che affrontiamo, la natura sempre più connessa delle nostre vite amplifica solo la nostra vulnerabilità agli attacchi informatici e dobbiamo agire ora".

Rockefeller ha detto durante un'udienza del 19 marzo che lui e Snowe stavano lavorando a una proposta di legge, con una parte del focus sull'incoraggiare altri studenti statunitensi a studiare la sicurezza informatica. Ma ha anche lamentato il fatto che pochi residenti negli USA hanno prestato attenzione ai problemi di sicurezza informatica del paese.

"Considero [la sicurezza informatica] un problema profondamente e profondamente preoccupante a cui non prestiamo molta attenzione", ha affermato. "Il problema è che l'America è inaccettabilmente esposta a una massiccia criminalità informatica."

Ha quindi chiesto ai leader del governo e al settore privato di lavorare insieme sulla sicurezza informatica. "Abbiamo bisogno di una risposta pubblico-privata coordinata, e al momento uno non esiste", ha detto Rockefeller.

Rockefeller e altri legislatori hanno recentemente sollevato timori che i terroristi informatici possano attaccare e far cadere le infrastrutture statunitensi, incluse le banche, il controllo del traffico aereo, controllo ferroviario e telecomunicazione. La legislazione che ha introdotto segue approssimativamente le linee guida contenute in un rapporto di dicembre di una commissione di esperti di cybersecurity organizzata dal Centro di studi strategici e internazionali (CSIS), un gruppo di esperti di Washington, DC, secondo il comunicato stampa del comitato commerciale.

Ma alcuni esperti di sicurezza informatica si sono chiesti se le nuove normative per il settore privato avrebbero migliorato la sicurezza. "La sicurezza è un atteggiamento ed è difficile regolamentare l'atteggiamento", ha dichiarato Brian Chess, fondatore e chief scientist di Fortify Software, un fornitore di sicurezza informatica. "Ha più a che fare con la comprensione dell'impatto del software insicuro sull'organizzazione: le aziende leader in questo settore lo fanno come parte di uno sforzo di conformità, ma riconoscono che è meno dispendioso implementare la sicurezza preventiva".

Precedentemente questa settimana, Fortify ha pubblicato un white paper incentrato sulla costruzione di sicurezza nel software del governo. Quella relazione esamina le migliori pratiche di organizzazioni che hanno avuto buoni track record di sicurezza informatica e raccomanda che le organizzazioni governative necessitino di leader forti, forte competenza nel cybersicurezza e attenzione agli standard di sicurezza preventivi.

Inoltre, le organizzazioni governative devono spingere la sicurezza in i loro processi di acquisizione e concentrarsi sulla riparazione o sostituzione del loro software legacy, dice il rapporto.

"Il problema è che dobbiamo attribuire un nuovo senso di urgenza a [cybersecurity]", ha dichiarato Howard Schmidt, presidente e CEO del Forum sulla sicurezza delle informazioni e consulente del gruppo di sicurezza informatica CSIS e di Fortify. "Passiamo attraverso questo ciclo costante di annientarci, picchiarci, invece di farcela fin dall'inizio."

Schmidt, un ex consigliere per la sicurezza informatica di eBay, Microsoft e la Casa Bianca, chiamato Federal Information Security Management Act (FISMA) del 2003, una legge che sottopone le agenzie federali a revisioni annuali sulla sicurezza informatica, un "esercizio di scartoffie" largamente infruttuoso. La FISMA classifica le agenzie federali in diverse aree di sicurezza.

Invece di spuntare le scatole che fanno parte dei regolamenti, le agenzie federali potrebbero lavorare su misure preventive di sicurezza informatica, ha detto.

"In un certo senso, è bello sapere la casa è in fiamme ", ha aggiunto Chess. "Ma fermiamo ciò che sta causando l'incendio."