Quella della cybersecurity è una lenta rivoluzione che sta interessando tutti i settori dell’economia statunitense, pronta ad agire per affrontare nuove minacce.
Dal 15 dicembre è entrato in vigore il nuovo regolamento di cybersecurity della Securities and Exchange Commission (Sec), che prevede per le aziende pubbliche l’obbligo di rivelare gli attacchi informatici subiti entro quattro giorni lavorativi dall’evento. Questo significa che eventuali violazioni che fanno notizia – come l’attacco che ha colpito tutti gli utenti del sistema di assistenza clienti Okta o l’hack a ‘23andMe’ che ha riguardato i dati di quasi 7 milioni di clienti – avranno conseguenze ancora peggiori di qualsiasi furto e compromissione di dati. E le regole Sec sono solo la punta dell’iceberg rispetto all’insieme delle modifiche che riguarderanno la legge.
Si tratta di un cambiamento che è stato accolto con poco clamore e non è stato ripreso dalla stampa, ma di fatto il governo federale sta avviando una rivoluzione che riguarderà l’economia e imporrà la conformità per la sicurezza informatica in tutti i 16 settori delle infrastrutture critiche.
Questi settori includono mercati ben noti e alcuni meno mainstream, come la base industriale della difesa, i servizi finanziari e l’energia, che sono regolati rispettivamente dal dipartimento della Difesa (Dod), dalla Sec e dal dipartimento dell’Energia (Doe). Gli ambiti di contorno di questi 16 settori primari non vengono però considerati, anche se essenzialmente rappresentano un asset importante della nostra economia, e di fatto anche le aziende minori dovrebbero rispettare le norme di conformità emergenti in tema di sicurezza informatica che, a partire dal governo federale, riguarda tutti gli ambiti. Il settore delle strutture commerciali, ad esempio, è costituito da otto sottosettori, tra cui immobili, vendita al dettaglio, campionati sportivi e luoghi di intrattenimento. Nessuno può quindi eludere i criteri imposti dalla normativa sulla sicurezza informatica, o non tener conto dei requisiti minimi obbligatori in materia di sicurezza informatica.
Un vantaggio per l’industria
C’è chi contesta il fatto che il governo stia varando questi regolamenti in maniera rapida e autoritaria. Ma è probabilmente una risposta a minacce concrete: la Russia rappresenta una pericolo reale per la cybersecurity, ha persino violato il Doe, e nel contempo anche dalla Cina arrivano potenziali minacce, come è stato reso noto dai funzionari dell’intelligence.
Questa crescente rivoluzione che riguarda il settore della sicurezza informatica è iniziata lo scorso anno, in occasione dell’ordine esecutivo della Casa Bianca, e si sta dipanando ora come un movimento che non ha confini e riguarda tutti. Ci sono già una dozzina di nazioni che condividono la linea degli Stati Uniti rispetto agli sforzi di sicurezza informatica, e questo riflette uno sforzo collettivo verso un’economia digitale globale fortificata.
Ci stiamo dirigendo verso un fiorente mercato relativo alla conformità per la sicurezza informatica, con degli effetti a catena che si attivano negli studi legali dal momento in cui gli atti di sicurezza informatica fraudolenta vengono sottoposti allo scanner giudiziario. Effettuare adeguati controlli di sicurezza non sarà più una scelta, ma un imperativo giuridico ed economico, e questo segna una nuova epoca di resilienza digitale che si basa su una struttura economicamente rafforzata.
E’ possibile che già nel prossimo futuro il governo selezionerà i suoi fornitori di servizi – al netto dell’ambito difesa – alla luce dei requisiti minimi obbligatori di sicurezza informatica, che sono posti come condizione essenziale per poter acquisire qualunque contratto federale.
Sono richiesti standard minimi di sicurezza che saranno obbligatori per tutti gli appaltatori federali e sostituiranno il mosaico di politiche incoerenti che esistono oggi. I singoli dipartimenti e le agenzie si stanno già attivando, non aspetteranno certo l’ultimo giorno utile per lavorare su nuovi regolamenti e requisiti normativi in linea con i nuovi criteri di cybersecurity governativi.
La Transportation Security Administration (Tsa) ha già avviato la norma che richiede nuovi requisiti di sicurezza per tutti gli operatori aeroportuali e aerei. Il dipartimento di Homeland Security (Dhs) già si è attivato a protezione delle informazioni controllate non classificate (Cui), mentre l’agenzia per la Protezione ambientale (Epa) punta a salvaguardare il settore idrico, in rispondenza al Cyber Incident Reporting for Critical Infrastructure Act del 2022 (Circia).
Le leve da attivare
Il governo sta attivando tutte le leve normative a sua disposizione per definire rapidamente i requisiti minimi obbligatori in campo di sicurezza informatica, che saranno applicati in ogni settore dell’economia, così come sono state rese obbligatorie le cinture di sicurezza, gli airbag e gli altri strumenti che garantiscono la sicurezza per chi viaggia in automobile.
E non ci si ferma al confine, se è vero che il Canada ha recentemente adottato il Cmmc per la difesa delle sue industrie, e il Giappone richiederà ai suoi appaltatori di soddisfare gli stessi requisiti previsti dalle regole di sicurezza informatica statunitensi.
Non si tratta però solo di potersi aggiudicare i contratti federali. Le aziende lavorano per soddisfare i requisiti di cybersecurity richiesti anche perché il dipartimento di Giustizia utilizza il False Claims Act per individuare e perseguire eventuali frodi legate alla sicurezza informatica da parte di appaltatori governativi e beneficiari di sovvenzioni, e sono già diversi i casi tracciati.
Lo scorso ottobre, ad esempio, la Pennsylvania State University è stata citata in giudizio da un ex Cio che ha mosso l’accusa di mancata salvaguardia dei dati e di rapporti di conformità di sicurezza falsificati. Questo caso specifico è ancora al vaglio degli inquirenti, ma c’è già un precedente. Lo scorso luglio Aerojet Rocketdyne ha accettato di pagare 9 mln di dollari per risolvere un caso simile.
Per sottolineare ulteriormente la determinazione del governo a far rispettare questi regolamenti sono anche state citate in giudizio le singole aziende.
Ogni settore dell’economia è chiamato a rafforzare le sue difese digitali. I requisiti di sicurezza informatica sono considerati fattori cruciali. Questo non è solo un cambiamento politico, è il cambiamento di un paradigma che punta a rendere imperativa e legalmente vincolante la conformità alla sicurezza informatica.
Eric Noonan ha prestato servizio presso il Corpo dei Marines degli Stati Uniti, Central Intelligence Agency, ed è il Ceo di CyberSheath.
L’articolo originale è disponibile su Fortune.com
