La responsabilità per la sicurezza delle infrastrutture critiche si sposta

Chi è esattamente responsabile della protezione delle infrastrutture critiche sta per cambiare in seguito alla firma di un ordine esecutivo da parte del presidente Trump.

L'ordine incarica l'Assistente del Presidente per gli Affari di Sicurezza Nazionale (APNSA), una posizione attualmente ricoperta da Michael Waltz, di esaminare come trasferire maggiori responsabilità per la sicurezza delle infrastrutture critiche ai governi statali e locali come parte di una Strategia Nazionale di Resilienza formale che sarà definita entro 90 giorni dalla firma dell'ordine esecutivo il 19 marzo.

Entro 180 giorni dalla firma dell'ordine, l'APNSA, in coordinamento con il Direttore dell'Ufficio per la Politica Scientifica e Tecnologica e altri capi delle agenzie competenti, è anche incaricato di rivedere tutte le politiche relative alle infrastrutture critiche e raccomandare eventuali revisioni, rescissioni e sostituzioni necessarie per raggiungere una posizione più resiliente. Al centro di questa transizione c'è un passaggio verso un approccio più "informato sui rischi" rispetto a quello che il presidente ha descritto come l'attuale approccio "tutti i rischi". In particolare, l'ordine esclude qualsiasi politica attuale relativa a presunta "disinformazione", "misinformazione" o "malinformazione" o cosiddetta "infrastruttura cognitiva". Quest'ultima frase include l'intelligenza artificiale (AI) in linea con i precedenti ordini per accelerare l'adozione di queste tecnologie riducendo le regolamentazioni.

Entro 240 giorni dalla data dell'ordine esecutivo, l'APNSA, in coordinamento con i capi delle agenzie competenti, è anche incaricato di rivedere tutte le politiche nazionali di preparazione e risposta e di raccomandare le revisioni, le revoche e le sostituzioni necessarie per riformulare il processo e le metriche di responsabilità federale come parte dello sforzo di allontanarsi dall'attuale approccio a tutti i rischi.

Infine, entro 240 giorni dalla firma dell'ordine esecutivo, l'APNSA, in coordinamento con il Direttore dell'Ufficio di Gestione e Bilancio e i responsabili delle agenzie competenti, è incaricato di coordinare lo sviluppo di un Registro Nazionale dei Rischi per identificare, articolare e quantificare i rischi per l'infrastruttura nazionale degli Stati Uniti, i sistemi correlati e i loro utenti.

Di fatto, l'amministrazione Trump ha deciso, come già hanno fatto molte organizzazioni, di dare priorità ad alcuni rischi di cybersicurezza rispetto ad altri. C'è, naturalmente, ancora molto dibattito vigoroso su non solo cosa costituisca una minaccia per le infrastrutture critiche, ma anche quale infrastruttura potrebbe effettivamente qualificarsi per essere considerata critica. L'unica cosa certa è che una massiccia quantità di cambiamenti sta per essere attuata in un tempo relativamente breve. La probabilità che durante quel periodo gli avversari lancino attacchi informatici progettati per, ad esempio, paralizzare le infrastrutture critiche situate in città e paesi che hanno risorse finanziarie limitate non è mai stata maggiore.

Le organizzazioni, quindi, dovrebbero pianificare di conseguenza. Sebbene un attacco informatico possa essere lanciato direttamente contro un'organizzazione, il cosiddetto raggio d'azione di un attacco informatico mirato, ad esempio, alle linee elettriche, ai sistemi idrici o a un gasdotto potrebbe influenzare tutti in una regione per settimane. Le organizzazioni di tutte le dimensioni sarebbero quindi ben consigliate a rivedere i loro piani di recupero di emergenza di conseguenza. Dopotutto, considerando quanto le organizzazioni dipendano da una vasta gamma di sistemi interconnessi, la maggior parte dei piani che le organizzazioni potrebbero aver creato in precedenza non sono mai stati progettati per affrontare un attacco informatico contro infrastrutture critiche che la maggior parte dei governi locali potrebbe non essere mai veramente preparata a gestire.