Gruppi di commercio e legislatori sostengono che i requisiti di segnalazione degli incidenti cibernetici della CISA siano eccessivi. L’obiettivo: creare consapevolezza senza sopraffare le realtà coinvolte
Un regolamento di segnalazione per gli incidenti cibernetici proposto da CISA (Cybersecurity and Infrastructure Security Agency) sembra chiedere troppo sia alle entità di infrastruttura critica sia all’agenzia incaricata di attuare la legge. Questo è quanto affermato dai gruppi di commercio di settori quali elettricità, telecomunicazioni e finanza, durante un’audizione della Camera dei Rappresentanti americana tenutasi di recente.
Il mandato di segnalazione degli incidenti cibernetici è uno dei principali tentativi della CISA di assumere un ruolo regolamentare. Tuttavia, si sta rivelando un compito complesso. L’ente governativo statunitense ha rilasciato a marzo un progetto di regolamento di ben 447 pagine, richiedendo alle aziende di infrastruttura critica di segnalare incidenti cibernetici significativi entro 72 ore e qualsiasi pagamento di ransomware entro 24 ore.
La finalità del regolamento è consentire al governo di comprendere meglio il panorama cibernetico, soprattutto alla luce di recenti maggiori attacchi cibernetici, come la campagna di spionaggio di SolarWinds, che ha messo in evidenza come molti attacchi passino inosservati.
Le testimonianze presentate alla sottocommissione per la sicurezza cibernetica dell’House Homeland Security erano in gran parte concordi sul ritenere la norma un passo importante per una maggiore consapevolezza cibernetica, ma al contempo affermavano che fosse troppo ampia, aumentando il rischio che la CISA venga sommersa da segnalazioni. A tal proposito, le organizzazioni più piccole, che sono le principali difensori, potrebbero vedersi ostacolate nel tentativo di inviare rapporti e allo stesso tempo fare fronte ad un attacco.
La CISA potrebbe non essere in grado di gestire la quantità di dati dovuta alla vasta definizione di incidenti cibernetici e alle numerose entità che dovrebbero segnalare, hanno sostenuto i testimoni. Mentre non sorprende che l’industria vorrebbe limitare alcuni aspetti del requisito regolamentare, ciò potrebbe implicare che la versione finale del regolamento risulti significativamente più ridotta rispetto alla bozza.
Il rappresentante Eric Swalwell, membro del Partito Democratico della California, ha dichiarato durante la sua dichiarazione di apertura che: “Dobbiamo assicurarci di non coinvolgere piccole e medie imprese irrilevanti in requisiti di segnalazione che possono essere sia onerosi e costosi per le aziende, e fornire dati inutili alla CISA”.
Il volume dei rapporti potrebbe essere così elevato da sovraccaricare la capacità dell’agenzia di analizzare tutte le informazioni e inoltrare informazioni operative ai difensori, hanno aggiunto i testimoni.Allo stesso tempo, l’autorevolezza della CISA è stata messa in discussione, considerando l’effettiva capacità dell’agenzia di mantenere le informazioni al sicuro dagli hacker.
Una sfida ulteriore per la CISA è rappresentata dal delicato equilibrio che l’agenzia deve mantenere nel richiedere un mandato alle stesse organizzazioni con cui deve collaborare su base volontaria.