Le infrastrutture critiche sono a rischio senza un’adeguata forza lavoro in cybersecurity, evidenzia il GAO in una relazione sul CISA.
Migliorare la gestione della forza lavoro specializzata in cybersicurezza è diventato un imperativo per l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA). Un recente rapporto dell’Ufficio per la Responsabilità del Governo (Government Accountability Office, GAO) evidenzia la carestia di personale qualificato per gestire i rischi tecnologici operativi (OT) negli Stati Uniti d’America.
Le infrastrutture critiche, come energia, trasporti e acqua, dipendono fortemente dai sistemi OT per le loro operazioni principali. Tuttavia, con una forza lavoro sotto dimensionata e non sempre dotata delle competenze necessarie, CISA sta lottando per affrontare i rischi di cyberattacchi che minacciano questi sistemi vitali.
Il rapporto GAO, basandosi su interviste a rappresentanti di CISA e a 13 entità non federali, ha portato alla luce che, sebbene ci sia stata una generale soddisfazione per i prodotti e i servizi dell’agenzia, ci sono stati anche episodi di insoddisfazione. Un esempio eclatante è stato il lungo ritardo nella comunicazione di una vulnerabilità riscontrata, con tempi di attesa oltre l’anno prima della divulgazione pubblica da parte del CISA.
Anche la capacità di condivisione delle informazioni dell’agenzia sembra risentire delle carenze di personale; quattro delle sette agenzie federali esaminate dalla GAO hanno segnalato problemi nella collaborazione con CISA in tal senso.
Ad aggravare la situazione è il ridotto numero di addetti di CISA che lavorano nell’ambito della ricerca delle minacce e nei servizi di risposta agli incidenti, con soli quattro impiegati federali e cinque contractor dedicati.
Il GAO ha pertanto formulato quattro raccomandazioni cruciali per garantire una migliore qualità dei servizi e la sicurezza delle infrastrutture critiche, sollecitando un maggior coinvolgimento degli operatori del settore per una collaborazione più efficace e trasparente nelle comunicazioni delle minacce.
Il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) ha condiviso le raccomandazioni del GAO, dimostrando un’apertura verso lo sviluppo di una politica più forte riguardo agli accordi di collaborazione tra le agenzie settoriali per la gestione dei rischi.