Un aggiornamento della GAO avvisa la Casa Bianca circa i regolamenti sulla cybersicurezza ancora da affrontare.
Un recente rapporto della Government Accountability Office (GAO) sottolinea che la Casa Bianca deve ancora affrontare una vasta serie di regolamenti in materia di cybersecurity. Mentre si avvicinano le elezioni del 2024, il Congresso lancia un promemoria al governo sottolineando 567 raccomandazioni sulla cybersecurity ancora da implementare.
La GAO, rinomata per identificare ambiti “vulnerabili a sprechi, frodi, abusi o cattiva gestione”, ha inserito la cybersecurity nella sua lista di alto rischio già dal 1997. Come ha affermato Sarah Kaczmarek, direttrice ad interim dell’Ufficio Affari Pubblici della GAO, le minacce alla sicurezza informatica sono in continua evoluzione e richiedono un aggiornamento costante delle strategie di difesa.
In un rapporto di oltre 80 pagine, la GAO affronta quattro principali aree di preoccupazione: la necessità di una strategia di cybersecurity completa con una supervisione efficace, la protezione dei sistemi e delle informazioni federali, la salvaguardia delle infrastrutture critiche e la tutela della privacy e dei dati sensibili.
Marisol Cruz Cain, direttrice della sezione informatica e sicurezza della GAO, ha sottolineato l’importanza critica di molte raccomandazioni, in particolare quelle riguardanti la strategia nazionale di cybersecurity. Ad esempio, la GAO ha evidenziato che il piano di attuazione della strategia della Casa Bianca manca di misure di performance e stime dei costi, rendendo difficile valutare l’efficacia delle strategie proposte.
Sebbene l’Ufficio del Direttore Nazionale della Cybersecurity abbia risposto affermando che il campo della cybersecurity non ha misure di performance orientate ai risultati, la GAO ha sollecitato ulteriori revisioni. Lo scorso mese, la Casa Bianca ha pubblicato un aggiornamento al piano di attuazione della strategia, aggiungendo 31 nuove iniziative, ma senza affrontare le critiche della GAO riguardo la mancanza di misure orientate ai risultati.
Uno dei settori maggiormente critici riguarda la protezione delle infrastrutture critiche, con più della metà delle 126 raccomandazioni in merito ancora non implementate. Nonostante alcuni passi avanti nell’affrontare le sfide legate alla protezione delle reti critiche, come quelle dell’acqua e dell’elettricità, restano “carenze significative” nella sicurezza delle infrastrutture chiave.
La GAO ha anche segnalato che le agenzie federali incaricate della sicurezza delle infrastrutture devono giocare un ruolo più attivo nell’applicazione delle migliori pratiche per difendersi dagli attacchi ransomware. Con riferimento a settori come la produzione critica, l’energia, la sanità e i trasporti, il Congresso ha rilevato una mancanza di dati sull’adozione delle migliori pratiche di difesa tra i gestori e gli operatori di queste infrastrutture.
La necessità di una maggiore attenzione e di azioni immediate è dunque essenziale per migliorare la difesa contro le minacce informatiche. Adottare misure proattive e implementare efficaci strategie di cybersecurity sarà cruciale per proteggere sia le infrastrutture critiche sia la sicurezza nazionale complessiva.