Difesa Usa: al via l’obbligo di notifica di incidenti cyber

Di Cyber Affairs

Dal prossimo 3 novembre, tutte le aziende e i loro subappaltatori che svolgano qualsiasi tipologia di attività nei confronti del Dipartimento della Difesa (DoD) americano saranno obbligati a comunicare entro 72 ore qualsiasi tipologia di incidente informatico occorso ai loro sistemi. È quanto si legge nella Final Rule del DoD’s Defense Industrial Base Cybersecurity Activities. “La norma”, spiega a Cyber Affairs Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza delle Informazioni e Intelligence, “cristallizza due principi fondamentali, da un lato, quello di obbligare la galassia di società satellite che collaborano con la Difesa americana alla condivisione delle informazioni relative a qualsivoglia incidente informatico, dall’altro di costringerle a farlo in un arco temporale che sia quanto più breve possibile”. L’intento sotteso, rileva l’esperto, “è molto evidente: non solo raccogliere le informazioni sugli incidenti informatici per proteggere i progetti o i programmi di sviluppo in atto, ma anche e soprattutto di mettere quelle informazioni a sistema affinché siano immediatamente utilizzate per scopi di contrasto alla criminalità informatica, contro-intelligence e sicurezza nazionale”.

In merito a questo punto, sottolinea Mele, “la Final Rule è molto precisa ed esplicitamente sottolinea questi obiettivi, classificando come informazioni privilegiate da condividere proprio quelle utili al Dipartimento della Difesa per le attività di analisi forense degli incidenti”. Questo approccio, prosegue il legale, “trova ancor di più la sua logica nell’obbligo per le aziende e i loro subappaltatori di condividere non solo le informazioni inerenti gli attacchi informatici, ma anche le violazioni alle procedure interne di sicurezza. Questa specificazione è palesemente atta a contenere casi di esfiltrazione di informazioni riservate da parte di eventuali dipendenti infedeli. Tema particolarmente critico per gli Stati Uniti, soprattutto dopo le vicende di Edward Snowden e, più di recente, di Harold Thomas Martin III. Questa impostazione differenzia in maniera netta questo programma di condivisione delle informazioni con quello – ben più famoso – denominato Cybersecurity Information Sharing Act (CISA), ove le informazioni sono raccolte e messe a sistema per i soli scopi di sicurezza informatica”.

L’entrata in vigore della Final Rule evidenzia ancora una volta, per Mele, “il grande lavoro in atto nel settore della sicurezza cibernetica da parte del Dipartimento della Difesa americano. Proprio la Difesa americana, infatti, sembra avere finora l’approccio più coerente e globale a questo settore. Le aziende e i subappaltatori che ruotano intorno al mondo della pubblica amministrazione sono da sempre uno degli anelli più deboli per un’efficace strategia di difesa e contrasto alla minaccia cibernetica. Creare soluzioni efficaci e che responsabilizzino questi attori, è quanto ci si sarebbe aspettato non solo dagli Stati Uniti, ma anche da molti altri Paesi”, conclude il legale.

WordPress › Errore

Si è verificato un errore critico sul tuo sito web.

Scopri di più riguardo la risoluzione dei problemi in WordPress.