Relazione di Robert K. Knake

Il governo degli Stati Uniti e l'industria privata sono rimasti bloccati in un vicolo cieco relativo alla condivisione delle informazioni sulla sicurezza informatica per oltre un decennio. Mentre l'amministrazione di Barack Obama ha lanciato sforzi esecutivi e legislativi per aumentare la condivisione delle informazioni, molte società americane continuano a sostenere che il governo federale dovrebbe fare di più per fornire loro utili informazioni sulle minacce informatiche. Ma la comunità di intelligence degli Stati Uniti sostiene che una maggiore declassificazione e condivisione di informazioni con società private potrebbero mettere a rischio fonti e metodi tecnici.

Risolve il problema. Il Dipartimento della Difesa fornisce già una rete classificata per gli appaltatori della difesa sgomberati per ricevere informazioni sulle minacce alle loro aziende. Replicare questa rete per le minacce informatiche è stata a lungo discussa come un modo per condividere più informazioni con il settore finanziario, i fornitori di elettricità e altre entità del settore privato critiche per l'economia degli Stati Uniti.

Cybersecurity United States Intelligence Digital Policy

L'espansione di questa rete richiede l'aumento del numero di personale autorizzato e di strutture in grado di contenere informazioni riservate, nonché di modificare le priorità della raccolta di informazioni. Questi ostacoli possono essere affrontati mediante sforzi di cooperazione tra il settore pubblico e il settore privato. Come primo passo cruciale, il governo degli Stati Uniti dovrebbe iniziare la raccolta mirata di informazioni sulle minacce informatiche alle infrastrutture critiche. Per diffondere queste informazioni, il governo dovrebbe stabilire standard di sicurezza diversi da quelli applicabili agli appaltatori della difesa per stabilire chi può essere in possesso di nulla osta

Un sistema costruito per un'epoca passata

La condivisione delle informazioni è stata a lungo considerata cruciale per la sicurezza informatica e un ambito in cui il governo può svolgere un ruolo significativo. Se gli indicatori di attività dannose vengono condivisi ogni qualvolta e ovunque vengano rilevati, gli autori di attacchi non saranno più in grado di riutilizzare gli stessi metodi contro bersagli diversi.

L'amministrazione e il Congresso Obama hanno lavorato insieme per eliminare gli ostacoli percepiti alla condivisione di informazioni tra società private, ad esempio attraverso le politiche del Dipartimento di Giustizia e della Federal Trade Commission che riguardavano preoccupazioni che la condivisione di informazioni tra concorrenti potesse violare la legge antitrust. Obama ha usato gli ordini esecutivi per promuovere la creazione di organizzazioni incaricate di centralizzare gli sforzi di condivisione delle informazioni del settore privato e stabilire canali con il governo federale. Infine, il Cybersecurity Act del 2015 ha fornito protezioni di responsabilità per la condivisione delle informazioni sulla sicurezza informatica tra società private.

Molto meno riusciti sono stati gli sforzi per condividere le informazioni del governo con il settore privato. Il governo federale ha l'autorità e la capacità di raccogliere informazioni che nessuna società privata possiede. La National Security Agency (NSA) intercetta le comunicazioni estere e irrompe nei computer degli avversari stranieri per comprendere le loro intenzioni, identificare l'infrastruttura che usano e analizzare i loro strumenti di attacco. L'FBI e il servizio segreto statunitense hanno autorità e capacità simili a livello nazionale. Tuttavia, la diffusione di informazioni raccolte al di fuori della comunità dell'intelligence richiede tempo e difficoltà. L'informazione deve essere declassificata per essere condivisa o può essere condivisa solo nei briefing di persona con il numero limitato di individui di società private che dispongono di autorizzazioni. Quando tali informazioni sono condivise, il settore privato spesso le considera irrilevanti perché gli attori che prendono di mira le imprese private di infrastrutture critiche potrebbero non essere gli stessi di quelli che prendono di mira agenzie governative o militari.

Il programma Enhanced Cybersecurity Services (ECS) del governo federale intendeva affrontare il problema della declassificazione fornendo informazioni riservate a società di servizi di sicurezza private che avrebbero quindi bloccato il traffico dannoso per conto dei propri clienti senza rivelare pubblicamente le informazioni sulle minacce classificate. Questo programma è stato istituito nel 2012, ma l'adozione è stata lenta, in parte a causa della sua natura di scatola nera: le aziende iscritte a ECS non hanno modo di sapere cosa il provider ha bloccato o perché lo ha bloccato. Il programma di condivisione automatica degli indicatori, inteso a fornire una condivisione reciproca non classificata di indicatori di attività dannose, ha anche visto una bassa adozione, con solo circa 130 aziende che lo utilizzano. Ciò è probabilmente dovuto al fatto che il governo non ha un vantaggio competitivo nella diffusione di indicatori non classificati, che possono essere ottenuti dalla raccolta di informazioni, raccolte dall'open source o acquistate da terze parti.

Affinché il governo fornisca maggiore valore, dovrebbe dare la priorità alla raccolta di informazioni sulle minacce alle società private, in particolare agli operatori di infrastrutture critiche, e modificare i propri processi per diffondere tale intelligence. L'approccio degli Stati Uniti alla raccolta di informazioni risale al periodo successivo alla seconda guerra mondiale, quando solo i funzionari governativi avevano accesso all'intelligence, la maggior parte dei quali era incentrata su avversari stranieri, in particolare l'Unione Sovietica. L'approccio è cambiato per includere gli attori terroristi non statali dopo l'11 settembre, ma non è rimasto aggiornato con la minaccia di attacchi informatici sul settore privato. Affinché la condivisione delle informazioni sulle minacce informatiche sia rilevante per gli operatori di infrastrutture critiche, il settore privato dovrebbe svolgere un ruolo nell'impostazione dei requisiti e delle priorità di intelligence degli Stati Uniti.

Le sfide

Il Dipartimento della Difesa gestisce DIBNET-S, una rete classificata per gli appaltatori della difesa che riceve informazioni sulle minacce alle loro aziende. La creazione di un programma simile per altri settori di infrastrutture critiche, gestito dal Department of Homeland Security (DHS), affronta una serie di sfide.

La rete richiederebbe una massiccia espansione del numero di persone con accesso alle informazioni classificate. Già cinque milioni di americani dispongono di autorizzazioni di sicurezza e un ampliamento dell'accesso potrebbe potenzialmente portare alla pubblicazione di informazioni classificate, analogamente a quanto accaduto nei casi di Chelsea Manning e Edward Snowden. Tuttavia, questi e altri incidenti hanno portato il governo degli Stati Uniti a stringere l'accesso alle informazioni classificate, passando da una "necessità di condividere" standard a uno standard di "necessità di sapere", che richiede sia il livello appropriato di nulla osta di sicurezza che una ragione valida per accedere informazione riservata. Una rete per proteggere le infrastrutture critiche dovrà rientrare in queste linee guida, trasmettendo solo informazioni di intelligence rilevanti per la difesa dagli attacchi informatici a coloro che hanno bisogno di conoscere e implementare le migliori pratiche per le minacce interne.

Lo sforzo richiederà inoltre che il governo degli Stati Uniti stabilisca requisiti di sicurezza che le aziende al di fuori dell'industria della difesa saranno in grado di soddisfare. Questi requisiti devono affrontare il problema persistente della proprietà e del controllo stranieri. Molte società di infrastrutture critiche sono di proprietà di investitori stranieri, una bandiera rossa per la concessione di autorizzazioni in base alle norme vigenti. Allo stesso modo, molti amministratori delegati di società statunitensi, anche quelli che sono cittadini statunitensi, non sono disposti a sottoporsi al processo di controllo in background.

Inoltre, la compensazione di più individui aggraverà l'esistente arretrato di sicurezza. Il DHS deve pagare l'Office of Personnel Management per ogni autorizzazione concessa ai privati. La compensazione di centinaia di personale in più nelle istituzioni finanziarie, nei fornitori di energia elettrica e in altre organizzazioni di infrastrutture critiche farebbe aumentare il budget del DHS a meno che non vengano fornite risorse aggiuntive.

Avere la spia del governo a sostegno delle compagnie private, anche per proteggere gli operatori delle infrastrutture critiche, potrebbe creare un pericoloso precedente. Gli Stati Uniti hanno promosso una norma secondo la quale lo spionaggio sanzionato dallo stato non dovrebbe aiutare gli interessi commerciali delle compagnie private, più recentemente in un accordo del 2015 con la Cina. Il governo degli Stati Uniti dovrà trovare un modo per distinguere tra l'uso di risorse statali per raccogliere segreti commerciali e proprietà intellettuale per ottenere un vantaggio competitivo e utilizzare le stesse risorse per spiare governi stranieri o gruppi criminali per proteggere gli operatori di infrastrutture critiche dalle minacce informatiche.

Molti nella comunità dell'intelligence sosterranno di non essere né autorizzati né dotati di risorse per questa missione; il loro mandato è invece quello di informare i decisori della sicurezza nazionale, non di fornire informazioni e avvertimenti agli operatori delle infrastrutture critiche nel settore privato. Tuttavia, la politica a lungo termine suggerisce diversamente. Le priorità della raccolta di intelligence degli Stati Uniti sono disciplinate dall'ordine esecutivo 12333, che conferisce al presidente la responsabilità di stabilire priorità di intelligence, raccogliere informazioni sulle minacce straniere e condurre attività per mitigarle. L'ordine afferma inoltre che gli sforzi di intelligence nazionale dovrebbero considerare i requisiti di "entità del settore privato", a seconda dei casi. Vale anche la pena notare che la comunità dei servizi segreti degli Stati Uniti ha avuto un obbligo di raccolta di vecchia data per colpire gruppi criminali coinvolti nel traffico di droga; quindi, la raccolta di minacce criminali a infrastrutture critiche oltre gli stati-nazione ha precedenti.

Anche se le preoccupazioni sull'autorizzazione possono essere affrontate, rimarranno i vincoli di risorse. Il governo dovrà stabilire quali compagnie spieranno, e quali priorità sarà rimossa da tale sforzo. La politica esistente può servire da guida. Sotto la sezione nove dell'Ordine esecutivo di Obama 13636, il segretario della sicurezza nazionale mantiene un elenco di "infrastrutture critiche in cui un incidente di sicurezza informatica potrebbe ragionevolmente provocare effetti catastrofici regionali o nazionali sulla salute pubblica o sulla sicurezza, sulla sicurezza economica o sulla sicurezza nazionale". Inizialmente, gli sforzi della comunità dei servizi segreti per fornire informazioni alle società private dovrebbero concentrarsi su questo elenco di società. Determinare quali attività spostare a favore di questo progetto sarà uno sforzo considerevole.

Raccomandazioni

Una rete nazionale informatizzata di condivisione delle informazioni cibernetica tra il governo federale e le compagnie di infrastrutture critiche è necessaria per rendere il partenariato pubblico-privato sulla cybersicurezza un lavoro nell'interesse di entrambe le parti. La maggior parte della responsabilità di rendere tale rete di successo dipende dall'amministrazione Donald J. Trump, che dovrebbe prendere in considerazione le seguenti raccomandazioni.

Fare in modo che le minacce informatiche contro le aziende di infrastrutture critiche siano prioritarie nella comunità dell'intelligence. L'amministrazione Trump deve garantire che le priorità di raccolta della comunità di intelligence includano le minacce informatiche contro le società di infrastrutture critiche. Il direttore dell'intelligence nazionale dovrebbe nominare un ufficio nazionale di intelligence per le infrastrutture critiche incaricato di garantire che la comunità di intelligence fornisca informazioni necessarie al settore privato. Una volta definito in modo appropriato la priorità, il DHS, in coordinamento con agenzie settoriali come il Dipartimento del Tesoro, dovrebbe sollecitare richieste di intelligence da parte di società di infrastrutture critiche. Queste richieste verranno convalidate e trasmesse al Centro di integrazione delle informazioni sulle minacce informatiche e quindi inviate alla NSA, alla CIA e ad altre agenzie di intelligence per la raccolta. Il processo di convalida dovrebbe impedire al governo di essere utilizzato da società private per raccogliere informazioni per scopi diversi dall'assicurare l'infrastruttura contro le minacce alla sicurezza nazionale.

Rinnovare le regole di sicurezza. Il segretario della sicurezza nazionale dovrebbe accelerare gli sforzi per redigere norme che concedano le autorizzazioni alle società non di difesa, che sono rimaste inutilizzate dal 2015. I nuovi requisiti dovrebbero conferire al segretario della sicurezza nazionale un mandato univoco per determinare quali strutture di società private possono essere autorizzate a detenere informazioni e quale personale dovrebbe ricevere autorizzazioni. Questi requisiti non dovrebbero richiedere agli amministratori delegati o ai membri del consiglio di amministrazione delle società di essere liquidati o di essere cittadini degli Stati Uniti.

Accelerare le approvazioni di sicurezza del settore privato. Il governo federale dovrebbe passare rapidamente a radunare membri delle unità di cyber intelligence presso le società di infrastrutture critiche identificate ai sensi della sezione nove dell'Ordine esecutivo 13636. Il DHS li ha già identificati come critici per la sicurezza nazionale, rendendo logico che siano i primi a essere le loro domande di liquidazione elaborate.

Stabilire un programma pilota che sfrutti i controlli di background aziendali esistenti. Le società impiegano uno sforzo significativo per condurre i propri controlli di base, parte dei quali è duplicata nel processo di autorizzazione del governo. Inoltre, molte delle principali società del settore privato stanno istituendo programmi di minacce interne per monitorare i dipendenti in posizioni sensibili. Nel tempo, un programma pilota stabilito dal DHS potrebbe fornire informazioni su come accelerare il processo di liquidazione e facilitare il monitoraggio continuo per garantire la protezione delle informazioni classificate.

Consentire al DHS di addebitare e trattenere le spese per coprire il costo delle estese soglie del settore privato. Il DHS ha già l'autorità di addebitare tasse alle aziende che coprono interamente i costi di elaborazione delle autorizzazioni di sicurezza per il personale e le strutture, ma non avrebbe l'autorità di trattenere tali fondi a meno che il Congresso non lo abbia espressamente concesso. Per altre missioni, DHS raccoglie già più di $ 15 miliardi di commissioni su trentotto programmi, che vanno dal programma Global Entry all'ispezione di beni agricoli alla frontiera, che coprono circa un quarto del budget totale. Se il Congresso non è in grado di agire, il DHS dovrebbe esplorare la possibilità di stipulare un accordo con uno o più appaltatori privati ​​che addebiterà direttamente alle società la copertura dei costi.

Conclusioni

Sebbene la creazione di una rete di condivisione delle informazioni cibernetica classificata nazionale e l'apertura di clearance introducano vulnerabilità, i potenziali benefici per la sicurezza nazionale superano i rischi. Non ci si può aspettare che le compagnie di infrastrutture critiche si proteggano dagli stati-nazione contraddittori senza assistenza federale. Il governo degli Stati Uniti ha esperienza con reti di scambio di informazioni classificate di successo, come quella per la base industriale della difesa. È ora che faccia lo stesso per proteggere le società finanziarie, energetiche e di altro settore privato che sono fondamentali per il funzionamento dell'economia degli Stati Uniti.

Questo Cyber Brief fa parte del programma di politica digitale e cyberspazio. Il Council on Foreign Relations non prende posizioni istituzionali su questioni politiche e non ha alcuna affiliazione con il governo degli Stati Uniti. Tutte le opinioni espresse nelle sue pubblicazioni e sul suo sito web sono di esclusiva responsabilità dell'autore o degli autori.