Protezione dell'infrastruttura strategica

Il contesto

La protezione dell’infrastruttura strategica consiste di misure a tutela di sistemi, reti e risorse che formano la spina dorsale dei servizi essenziali. Alcuni esempi di infrastrutture fisiche vitali sono le strade, i ponti, gli aeroporti, le strutture di comunicazione e le centrali elettriche. Un’infrastruttura basata sulle informazioni permette il funzionamento di tutte le altre ed è caratterizzata da computer e reti, in particolare da sistemi di controllo di supervisione e acquisizione dei dati (Supervisory Control And Data Acquisition, SCADA), che operano in maniera interconnessa per consentire lo scambio e l’analisi delle informazioni fra le funzioni strategiche. Queste includono il sistema bancario, la generazione e distribuzione di energia elettrica, i servizi medici, i servizi governativi di emergenza e i trasporti aerei e di superficie.

Dato che nella maggior parte dei paesi l’infrastruttura strategica delle informazioni è in gran parte posseduta e gestita dal settore privato, le soluzioni necessarie devono essere di tipo dinamico. Devono infatti riflettere il fatto che le minacce emergenti, e le tecnologie necessarie per combatterle, spesso cambiano molto rapidamente e i processi di regolamentazione non riescono a tenere il passo. I cambiamenti continui e inerenti a Internet, combinati con la sua estensione globale, richiedono soluzioni flessibili che possano essere velocemente adattate alle circostanze nuove e in evoluzione.

L’importanza per McAfee

La distruzione o la disattivazione delle infrastrutture fisiche o di informazioni a causa di disastri naturali, attacchi informatici o altro può provocare un grave danno a cittadini, imprese e governi. La sfida della protezione dei sistemi e reti di informazioni strategiche è globale. Le odierne infrastrutture di informazioni dipendono essenzialmente dalla connettività e interoperabilità in tutto il mondo. Pertanto è fondamentale affrontare la sfida adottando efficaci strategie e soluzioni a livello internazionale.

In McAfee ci dedichiamo a rendere più sicuro il mondo connesso. Riteniamo che nessuno, sia esso una persona, un prodotto o un’organizzazione, possa combattere gli avversari informatici in solitudine. Questo vale particolarmente per le organizzazioni delle infrastrutture strategiche che vengono attaccate quotidianamente da altri Stati e da organizzazioni criminali globali. A tutt’oggi McAfee è molto presente nei settori infrastrutturali strategici, fra cui sanità, pubblica amministrazione e finanza. Stiamo inoltre facendo progressi in altri settori strategici, come le comunicazioni e l’energia. Nell’ambito del nostro impegno nel servire gli interessi dei clienti, abbiamo un interesse attivo negli ambienti delle politiche pubbliche, che cerchiamo di influenzare e in cui operano i nostri clienti esistenti e potenziali, nell’ambito di una strategia più ampia in cui tutti hanno da guadagnare.

Raccomandazioni per la politica

Mantenere un approccio volontario

I governi nazionali hanno il legittimo interesse di proteggere le infrastrutture strategiche, che sono in gran parte possedute dal settore privato. Pertanto McAfee ritiene che debba essere il settore privato a guidarne la protezione. Il governo dovrebbe permettere all’industria di continuare l’innovazione volontaria nella protezione delle infrastrutture strategiche. Regolamenti e obblighi sarebbero controproducenti rispetto all’obiettivo di assicurare la protezione delle nostre infrastrutture strategiche.

  • Se i regolamenti dovessero forzare i produttori a tutelarsi contro le minacce odierne, quelle di domani potrebbero facilmente insinuarsi nei meandri legislativi.
  • Se il governo dovesse imporre degli obblighi tecnologici, il risultato sarebbe molto probabilmente una mera conformità anziché una vera sicurezza. La regolamentazione in un’area come quella della sicurezza informatica è molto insidiosa e le conseguenze indesiderate potrebbero annullare qualsiasi vantaggio.

Un approccio come quello della collaborazione volontaria fra pubblico e privato, che ha prodotto il NIST Framework, è molto migliore di una regolamentazione rigida. L’approccio del NIST ha avuto successo perché i legislatori e il settore privato hanno definito la necessità reale: migliorare la sicurezza delle infrastrutture strategiche. Dato che il processo è aperto, il NIST ha ascoltato il settore privato e si è guadagnato la fiducia delle principali parti interessate. Il risultato è stato un quadro flessibile e basato sulla collaborazione volontaria, non un regolamento rigido. La collaborazione dà vita a soluzioni integrate e convalidate per i processi industriali, che possono essere distribuite rapidamente, senza sacrificare sicurezza o affidabilità. I legislatori dovrebbero tenere a mente il successo del NIST Framework come un modo positivo di ottenere il risultato desiderato.

 

Incentivare la sicurezza intrinseca

I legislatori dovrebbero incentivare la sicurezza intrinseca (Security by Design) per qualsiasi nuova installazione di infrastruttura strategica. L’introduzione precoce della sicurezza nel processo di sviluppo, incorporandola nell’infrastruttura fin dall’inizio, è un approccio proattivo di gran lunga preferibile all’applicazione di patch e aggiornamenti e alla modifica dei sistemi per la sicurezza a fatto compiuto.

  • L’aggiunta delle funzionalità di sicurezza a un sistema, rete o dispositivo dopo che è già stato in funzione presenta punti deboli e inefficienze intrinseche, se non altro per il fatto di dover scollegare il sistema durante l’aggiornamento, che non è una misura praticabile per le reti elettriche.
  • I produttori dovrebbero prendere in considerazione la sicurezza precocemente nel processo di progettazione di qualsiasi dispositivo collegabile in rete e dovrebbero includere dei meccanismi per effettuare l'upgrade e applicare le patch ai prodotti in maniera sicura dopo la produzione iniziale.

 

Incentivare ulteriori investimenti nelle capacità di sicurezza informatica

In quanto organizzazione in prima linea nella sicurezza informatica, conosciamo la pressione cui possono essere sottoposti i nostri clienti per fare tutti gli investimenti necessari per il buon funzionamento delle loro organizzazioni. Spesso gli investimenti in sicurezza informatica possono essere rimandati in favore di quelli per nuovi prodotti, vendite o marketing. Dato l’interesse nazionale nella protezione dei sistemi delle infrastrutture strategiche possedute e gestite dal settore privato, per i legislatori ha senso l’attuazione di incentivi aggiuntivi, come quelli di cui sotto, per aiutare tali organizzazioni a migliorare le proprie capacità in sicurezza informatica.

  • Incentivi fiscali: incentivi fiscali per incoraggiare le imprese a investire nella difesa informatica, ad esempio tempistiche di deprezzamento accelerate o crediti d’imposta per l’adozione di tecnologie di sicurezza collaudate.
  • Riforma delle assicurazioni: il governo potrebbe potenziare il mercato assicurativo con un programma di reti di sicurezza. A tal fine il Congresso dovrebbe considerare di ampliare l’ambito della Legge sulla Nuova Autorizzazione del Programma di Riassicurazione contro il Terrorismo (TRIPRA) per includere gli attacchi informatici.
  • Incentivi per risolvere il problema dei “free rider” nella condivisione delle informazioni: dobbiamo riconoscere il disincentivo imposto sulla condivisione delle informazioni pubblico-privato dal problema del “free rider”. Ogni organizzazione trae vantaggio dal consumo di informazioni sulle minacce ma non ha un guadagno diretto dal fornirle, a meno che non vengano poste in essere le strutture e gli incentivi organizzativi giusti per eliminare questo problema dei free rider.
  • Desecretazione di una maggior quantità di dati sulle minacce: per affrontare il problema dei free rider i governi devono migliorare la qualità e la quantità dei dati sulle minacce condivisi con il settore privato. I governi dovrebbero quindi desecretare maggiori categorie di dati sulle minacce per condividerli attivamente con il settore privato. Dovrebbero inoltre emettere più nulla osta di sicurezza ai rappresentanti delle aziende qualificate, per consentire l’accesso alle porzioni o classi di dati più sensibili e potenzialmente più preziosi.