MILANO (MF-DJ)--I principali funzionari informatici statunitensi hanno esortato il Congresso a rendere più severa qualsiasi legislazione costringa le aziende che gestiscono infrastrutture critiche a rivelare gli attacchi hacker, chiedendo una finestra di segnalazione ristretta dopo una violazione e multe contro le aziende che non rispettano la misura.
Tali obblighi potranno aiutare le agenzie federali e i settori economici critici a rispondere agli incidenti, affermano gli esperti di sicurezza. Molte aziende e alcuni legislatori sono però diffidenti nei confronti di una regolamentazione più severa e delle potenziali sanzioni che l'amministrazione Biden sta sostenendo.
Jen Easterly, direttore della Cybersecurity and Infrastructure Security Agency, ieri ha affermato che divulgazioni più rapide da parte delle vittime degli attacchi hacker consentiranno ai funzionari statunitensi di analizzare i dati e identificare altri potenziali obiettivi. "A tal fine, la segnalazione degli incidenti informatici deve essere tempestiva e avvenire idealmente entro 24 ore dal rilevamento", ha affermato Easterly in una testimonianza scritta durante un'audizione alla Commissione per la Sicurezza interna e gli Affari governativi del Senato per discutere delle minacce alla sicurezza.
Nella stessa audizione Easterly, il responsabile federale della sicurezza delle informazioni Chris DeRusha e il direttore informatico nazionale Chris Inglis hanno chiesto sanzioni pecuniarie contro le aziende che infrangono tali regole. "Naturalmente non vogliamo imporre un onere ingiusto alle vittime. Ma questa informazione è essenziale per il benessere di tutti", ha detto Inglis.
Le dichiarazioni suggeriscono che l'amministrazione Biden vede un'applicazione aggressiva come la chiave per un potenziale regime di segnalazione degli incidenti, che il Congresso non è riuscito a creare nell'ultimo decennio a causa dell'opposizione del settore privato. Gli Stati richiedono alle aziende di divulgare le violazioni che espongono informazioni personali. Le industrie regolamentate come i servizi finanziari hanno regole specifiche per il settore che richiedono alle aziende di segnalare gli attacchi hacker, ma non esiste uno standard di segnalazione federale per tali attacchi contro aziende ritenute critiche per l'economia degli Stati Uniti.
Una serie di attacchi informatici contro le agenzie federali e gli operatori di infrastrutture critiche negli ultimi mesi ha dato vita a questa idea, convincendo alcune aziende e legislatori favorevoli alle imprese sul fatto che sono necessarie alcune regole. I lobbisti stanno spingendo i legislatori ad approvare requisiti meno severi, inclusa una finestra di segnalazione di 72 ore, affermando che un periodo più breve complicherebbe la capacità delle aziende di rispondere agli incidenti e inonderebbe il Governo di dati.
Le proposte del Congresso negli ultimi mesi, tuttavia, si sono differenziate circa l'ampiezza dei requisiti di segnalazione degli incidenti e su come applicarli. Un disegno di legge del Senato presentato a luglio ha proposto una finestra di segnalazione di 24 ore per le aziende designate e consentirebbe alla Cisa di multare le aziende fino allo 0,5% delle entrate dell'anno precedente per ogni giorno in cui infrangono le regole. Un progetto di legge alla Camera darebbe alla Cisa il potere di citare in giudizio le società che trattengono le informazioni dopo almeno 72 ore. I legislatori della Camera hanno preso in considerazione la possibilità di proporre multe, ha detto un assistente, ma credono che creerebbero tensioni con le aziende senza migliorare l'accesso della Cisa a informazioni tempestive.
Anche se Easterly ieri ha affermato che le divulgazioni entro 24 ore da una violazione potrebbero aiutare la Cisa a tracciare le minacce, ha avvertito che una finestra di segnalazione troppo breve potrebbe fornire informazioni errate. "Segnalazioni errate non sono ciò di cui abbiamo bisogno", ha detto.
L'audizione di ieri è arrivata il giorno dopo che il Governo ha emesso nuove linee guida su come le aziende nei settori delle infrastrutture critiche come l'energia e i trasporti dovrebbero rafforzare le loro difese informatiche. Le raccomandazioni di alto livello includono la produzione di valutazioni del rischio informatico, il monitoraggio costante delle minacce e la catalogazione di tutto il software e l'hardware all'interno delle reti di computer.
Funzionari statunitensi hanno segnalato che ulteriori attacchi informatici alle infrastrutture critiche potrebbero richiedere normative obbligatorie, come le regole della Transportation Security Administration svelate dopo che gli hacker hanno interrotto il più grande gasdotto della costa orientale per sei giorni a maggio. Tali requisiti obbligano gli operatori del gasdotto a segnalare gli attacchi hacker entro 12 ore o ad affrontare potenziali sanzioni di 7.000 dollari al giorno, hanno affermato i funzionari.
Le aziende sono diffidenti nei confronti di tali multe per quel che riguarda infrastrutture critiche di grandi dimensioni. John Miller, vicepresidente senior della politica e consigliere generale presso l'Information Technology Industry Council, un'associazione di categoria di aziende tecnologiche con sede a Washington, ha affermato che l'imposizione di sanzioni potrebbe spingere le aziende a strutturare programmi di conformità in modo da evitare le multe piuttosto che istituire le migliori pratiche per la sicurezza informatica. "Le misure punitive sarebbero controproducenti rispetto al mantenimento della partnership attualmente esistente tra il settore privato e il Governo", ha affermato.
cos
(END) Dow Jones Newswires
September 24, 2021 13:20 ET (17:20 GMT)
