In arrivo una nuova direttiva operativa vincolante diretta alle agenzie federali. L’obiettivo è monitorare i rischi razionalizzando le risorse.

Cambio di indirizzo per cybersicurezza degli Usa e in particolare sulla valutazione dei rischi, secondo le ultime indicazioni della Cybersecurity and Infrastructure Security Agency (CISA). L’Agenzia potrebbe infatti rivedere la modalità di valutazione e gestione dei rischi e delle vulnerabilità cyber. Sia all’interno delle agenzie governative sia nel settore privato.

Ad annunciarlo è stato Nick Andersen, direttore ad interim della CISA, durante un evento organizzato a Washington.

Il nuovo approccio “punta a superare una logica che per anni ha privilegiato la correzione indiscriminata di tutte le vulnerabilità“. Si assumerebbe invece “un modello basato sulla valutazione concreta del rischio e dell’impatto potenziale“.

Più attenzione alle patch

Secondo quanto ha riportato CyberScoop uno dei pilastri della strategia sarà una nuova direttiva operativa vincolante, destinata alle agenzie federali. Finora, ha spiegato Andersen, l’approccio dominante era semplice. “Ad ogni rilascio di una patch di sicurezza“, ha sottolineato, “bisognava procedere ad installarla il più rapidamente possibile“.

Secondo la CISA, però, questa modalità non è più sostenibile. A fronte delle continue e crescenti vulnerabilità, infatti, le risorse disponibili per affrontarle restano limitate. Da qui, “l’obiettivo di stabilire priorità più precise“, razionalizzando le stesse risorse.

Le organizzazioni dovranno allora valutare:

• se una vulnerabilità interessa sistemi esposti a Internet.
• Qualora questa compaia nell’elenco delle vulnerabilità note e già sfruttate dagli attaccanti (Known Exploited Vulnerabilities – KEV).
• Se il suo sfruttamento può essere automatizzato su larga scala.

“Non tutte le patch hanno la stessa importanza“, ha affermato Andersen. “Alcune vulnerabilità rappresentano rischi molto più elevati di altre e richiedono un’attenzione immediata“.

Una nuova cultura della gestione del rischio

Sempre secondo l’attuale responsabile della CISA il settore della cybersicurezza deve accettare un principio già consolidato nella gestione delle emergenze cinetiche. Quello per cui “non tutte le infrastrutture hanno lo stesso valore strategico e non tutti i sistemi meritano lo stesso livello di protezione“.

Tra i fattori che hanno accelerato il cambiamento c’è la crescita delle minacce supportate dall’intelligenza artificiale. La diminuzione del tempo tra la scoperta di una falla e il suo sfruttamento concreto impone alle organizzazioni una maggiore capacità di selezionare rapidamente le priorità.

Al contempo, Andersen ha comunque precisato che la revisione strategica era già in corso da mesi. Nessun collegamento diretto, dunque, con il recente ordine esecutivo dell’Amministrazione Trump sull’intelligenza artificiale.

Rivedere gli obiettivi

Per Washington, l’idea di una nuova valutazione delle obiettivi sensibili da proteggere non è nuova. In effetti, negli ultimi anni c’è stata l’approvazione di diversi programmi in materia. Programmi, che servono per identificare le infrastrutture la cui compromissione potrebbe comportare un grave pericolo per la Sicurezza Nazionale. Secondo Andersen, però, tali modelli si sono spesso rivelati troppo generici.

In passato, ad esempio, un’azienda poteva ottenere la classificazione di “infrastruttura critica” senza il chiarimento di quali fossero le funzioni o gli asset da proteggere con priorità assoluta. La nuova linea della CISA punta invece a una valutazione molto più dettagliata.

L’Agenzia federale vuole poter discutere con ogni organizzazione delle specifiche funzioni essenziali che supportano l’economia o la Sicurezza. Partendo da questo presupposto, punta ed individuare i sistemi che devono raggiungere livelli misurabili di resilienza.

Vai al sito di Cybersecurity Italia.

L'articolo Usa, la CISA ridefinisce le valutazioni sui rischi cyber per gli enti federali e il settore privato sembra essere il primo su CyberSecurity Italia.