Collaborazioni pubblico-privato

Il contesto

business-discussions-2males-laptop-2

Governi, imprese e consumatori si trovano dinanzi a un panorama delle minacce informatiche che si evolve costantemente con ogni nuova tecnologia immessa sul mercato, a una velocità mai vista prima. Il notevole aumento dei dispositivi abilitati per Internet negli ambiti governativo, industriale e domestico non fa che inasprire questa già difficile problematica. Le sfide da fronteggiare sono troppo grandi perché un’azienda o entità possa affrontarle da sola. Ciò che ci serve è la collaborazione e un modello efficace di collaborazione è quella fra pubblico e privato.

Il Quadro per il Miglioramento della Sicurezza Informatica delle Infrastrutture Strategiche, noto come NIST Cybersecurity Framework, è ampiamente riconosciuto come un modello di collaborazione pubblico-privato di grande successo e viene adottato dagli enti governativi e dalle aziende responsabili delle infrastrutture strategiche. L’approccio NIST ha avuto successo per i seguenti motivi: i legislatori e il settore privato hanno definito una necessità reale, quella di migliorare la sicurezza delle infrastrutture essenziali; il processo era aperto, il NIST ha ascoltato il settore privato e si è guadagnato la fiducia delle principali parti interessate; il prodotto finale, un quadro flessibile, si è basato sulla collaborazione volontaria, non su di un regolamento rigido. I legislatori dovrebbero tenere a mente i recenti successi del quadro come un modo positivo di ottenere il risultato desiderato.

L’importanza per McAfee

McAfee ritiene che nella sicurezza informatica la collaborazione sia il modo migliore per sconfiggere gli aggressori e proteggere reti, dati, infrastrutture, perfino la vita delle persone. Crediamo che delle solide, volontarie collaborazioni fra pubblico e privato siano la strada migliore per risolvere le grandi sfide della sicurezza informatica che abbiamo dinanzi. Tali collaborazioni promuovono la fiducia e l’innovazione e sono molto più adatte per raggiungere il successo a lungo termine rispetto agli obblighi e regolamenti governativi iperrestrittivi e che minano la fiducia.

Da oltre 10 anni McAfee è attiva nelle collaborazioni pubblico-privato gestite da Dipartimento per la Sicurezza Nazionale (DHS), NIST e altre agenzie. Ricopriamo dei ruoli di guida in: Comitato Consultivo del Presidente sulla Sicurezza Nazionale nelle Telecomunicazioni (NSTAC), Consiglio di Coordinamento del Settore Tecnologia delle Informazioni, Centro di Condivisione e Analisi delle Informazioni IT, Alleanza Nazionale per la Sicurezza Informatica e Centro di Eccellenza Nazionale per la Sicurezza Informatica (NCCoE).

Riteniamo inoltre che la tecnologia resa possibile da una solida collaborazione possa essere distribuita rapidamente alle piattaforme di sicurezza, che così possono comunicare reciprocamente su protocolli di comunicazione aperti. Tale tecnologia può essere guidata da quell’intelletto strategico che solo le persone possiedono. Pertanto l’unico modo per avere una strategia vincente nella sicurezza informatica è quella di riunire tecnologia, settore della sicurezza informatica e le iniziative di governo e settore privato. Questa è ciò che si chiama una reale collaborazione.

Raccomandazioni per la politica

I legislatori dovrebbero essere cauti nell’imporre obblighi e regolamenti, per sostenere invece la collaborazione volontaria e l’uso delle normative e migliori pratiche supportate dal settore. Quest’ultimo dovrebbe appoggiare la responsabilizzazione in materia di sicurezza informatica. Dovrebbe inoltre stanziare maggiori risorse per essa e farvi concentrare maggiormente dirigenti e organizzazioni.

I legislatori hanno svolto un lavoro ammirevole con l’incentivo delle protezioni dalle responsabilità e il rilassamento delle regole antitrust, al fine di incoraggiare l’ampia condivisione delle informazioni fra governo e settore privato e fra le entità di quest’ultimo. Comunque sono poche le imprese che condividono attivamente le informazioni sulle minacce con il governo e reciprocamente. Ciò limita la realizzazione del nostro obiettivo: un ecosistema di condivisione delle informazioni altamente funzionale che consente ai settori pubblico e privato di competere con le reti globali degli hacker sofisticati.

Le agenzie federali dovrebbero quindi desecretare maggiori categorie di dati sulle minacce per condividerli attivamente con il settore privato. Il DHS dovrebbe emettere più nulla osta di sicurezza ai rappresentanti delle aziende qualificate, per consentire l’accesso alle porzioni o classi di dati più sensibili e potenzialmente più preziosi. L’amministrazione dovrebbe dare attuazione alla Legge sul Credito d’Imposta per la Condivisione delle Cyber-Informazioni. Tramite i crediti d’imposta rimborsabili per tutti i costi associati, la legge incentiverebbe le imprese di ogni dimensione a entrare nelle organizzazioni di condivisione delle informazioni specifiche del settore, chiamate Centri per l’analisi e la condivisione delle informazioni (Information sharing and analysis centers, ISAC).