Il panel di esperti pone l’accento sulla necessità di riformare il CSRB per garantire indipendenza e autorità efficaci.
La tavola rotonda sulla sicurezza informatica, nota come Cyber Safety Review Board (CSRB), continua a mostrare carenze significative in termini di autorità e indipendenza rispetto al settore privato. Questa situazione la rende meno incisiva nell’analizzare incidenti informatici di ampia portata, come emerso da recenti discussioni di esperti in ambito legislativo. Creata ispirandosi all’autorevolezza del National Transportation Safety Board, organo indipendente incaricato di esaminare sinistri inerenti al trasporto pubblico, il CSRB ha avuto inizio con buoni propositi ma sembra stentare a raggiungere il livello d’efficacia del suo modello.
Le riflessioni emerse dal confronto con il Senato degli Stati Uniti sono emblematiche: se il CSRB continuasse a operare nell’attuale configurazione, le indagini verrebbero gestite da coloro che dovrebbero essere investigati. Ciò solleva preoccupazioni riguardanti potenziali conflitti di interesse e limita la capacità dell’ente di svolgere indagini imparziali e dettagliate. La commissione è composta attualmente sia da rappresentanti del governo federale sia da esponenti di colossi tecnologici e aziende del settore cyber security come Google, CrowdStrike e Palo Alto Networks, che potrebbero trovarsi in posizione di dover analizzare problematiche interne o di concorrenti.
Per poter imparare veramente dagli errori passati e migliorare le pratiche di cyber security, i membri del panel sostengono che sia necessario rifondare il CSRB conferendogli maggiore indipendenza e trasparenza nelle sue azioni. A differenza del National Transportation Safety Board, il CSRB non dispone della possibilità di emettere citazioni giudiziarie nei confronti delle compagnie coinvolte nelle indagini. Inoltre, la mancanza di uno staff dedicato a tempo pieno lascia i membri del consiglio legati a influenze esterne, sia di natura industriale che politica.
La trasparenza e indipendenza nelle indagini di violazioni informatiche sono elementi cruciali per garantire l’integrità delle indagini. Esperti come Tarah Wheeler con una carriera nell’analisi forense informatica, hanno sottolineato come il codice di condotta attuale possa facilmente portare a una sovrapposizione tra gli interessi aziendali e l’imparzialità richiesta durante un’indagine. Ciò può causare interferenze legali volte a limitare le scoperte al fine di proteggere l’immagine corporativa.
Il consiglio è in una posizione unica per aiutare il governo federale e le imprese a imparare da precedenti incidenti informatici, come la vulnerabilità Log4j del 2021, ma per realizzare questa potenzialità deve innanzitutto porsi come un corpo più autonomo e trasparente. Dall’altro lato, la scelta dei membri e degli incidenti da esaminare dovrebbe essere svolta con criteri chiari e imparziali, per evitare conflitti di interesse all’interno del consiglio, soprattutto tra i suoi membri del settore privato.
Le indagini completate dal CSRB finora hanno sollevato in più occasioni dubbi sulla qualità del suo lavoro. Gli esiti presentati si sono limitati a soluzioni basate su un consenso generale piuttosto che ad analisi dettagliate e approfondite, come ci si aspetterebbe da un corpo investigativo di tale calibro. Infatti, importanti incidenti come l’attacco via la catena di approvvigionamento Sunburst del 2020, che ha compromesso agenzie federali e numerose aziende, non sono stati ancora oggetto di un’indagine approfondita del CSRB.
Alla luce delle testimonianze presentate, il Senato degli Stati Uniti valuta la possibilità di codificare legalmente il CSRB, una mossa che l’amministrazione Biden ha suggerito includa il potere di citazione nelle indagini. Tale potere è stato descritto come centrale al successo di altri enti investigativi, ma gli esperti chiedono che venga concessa questa autorità solo dopo aver garantito al CSRB maggiore trasparenza e indipendenza.