L'ordine esecutivo di Trump potrebbe creare nuove sfide di sicurezza

Il governo degli Stati Uniti esercita oggi così tanta influenza sulla sicurezza informatica che anche il più piccolo cambiamento di politica può ora avere un impatto profondo. Un ordine esecutivo emesso dal Presidente Trump non fa eccezione, soprattutto quando riguarda le regole che richiedono alle agenzie federali di iniziare a testare tecnologie di autenticazione resistenti al phishing e l'adozione sia delle identità digitali che della crittografia post-quantistica (PQC).

In particolare, l'amministrazione sta invertendo un precedente ordine esecutivo emesso dall'ex presidente Joe Biden che richiedeva un'adozione più aggressiva di tecnologie di autenticazione più robuste e identità digitali per migliorare la sicurezza informatica e ridurre le frodi. Tuttavia, l'amministrazione Trump, dato l'attuale focus sull'applicazione delle politiche di immigrazione, è preoccupata che le identità digitali possano essere utilizzate da immigrati clandestini per accedere a benefici ai quali non hanno diritto.

Il secondo grande cambiamento ha eliminato un ordine di Biden che richiedeva alle agenzie federali di iniziare a utilizzare la crittografia resistente ai quanti "il prima possibile", oltre a richiedere ai fornitori di utilizzare PQC quando tecnologicamente possibile. L'amministrazione Trump ha anche eliminato le istruzioni per i dipartimenti di Stato e Commercio di incoraggiare i principali alleati stranieri e le industrie d'oltremare ad adottare algoritmi post-quantistici definiti dal National Institute of Standards and Technology (NIST).

Una terza modifica riguarda la protezione delle catene di fornitura del software. In precedenza, qualsiasi fornitore che vendeva software al governo federale doveva attestare la sicurezza del software presentando documentazione che dimostrasse che stava seguendo le best practice DevSecOps. Ora il governo degli Stati Uniti tramite NIST fornirà solo linee guida, piuttosto che richiedere ai fornitori di fornire un rapporto effettivo.

Inoltre, le disposizioni che richiedevano alla Cybersecurity and Infrastructure Security Agency (CISA) di verificare le attestazioni fornite dai fornitori, richiedevano all'Ufficio del Direttore Nazionale della Cybersecurity (ONCD) di pubblicare i risultati di tali revisioni e incoraggiavano l'ONCD a segnalare al Dipartimento di Giustizia le aziende le cui attestazioni non superano una revisione “per un'azione adeguata” sono state eliminate.

L'amministrazione Trump ha anche eliminato le regole che richiedevano al NIST di emettere linee guida per identificare le pratiche minime di sicurezza informatica basate su una revisione degli standard accettati a livello globale che richiedevano ai fornitori di seguire tali pratiche.

Il documento informativo fornito dall'amministrazione Trump ha affermato che il precedente ordine di Biden ha imposto "processi di contabilità del software non provati e onerosi che davano priorità alle liste di controllo per la conformità rispetto agli investimenti genuini in sicurezza" e ha micromanaged "decisioni tecniche di cybersecurity meglio gestite a livello di dipartimento e agenzia, dove i compromessi di bilancio e le soluzioni innovative possono essere valutati e implementati in modo più efficace."

L'amministrazione Trump sta anche restringendo l'ambito di un precedente ordine relativo alla sicurezza dell'intelligenza artificiale (IA). L'ordine di Trump ora richiede alle agenzie federali di monitorare le vulnerabilità nei sistemi IA, integrarle nei pipeline di incident response e limitare la condivisione dei dati solo a ciò che è fattibile sotto i vincoli di sicurezza e riservatezza. In precedenza, le agenzie federali condividevano queste informazioni con altri paesi alleati degli Stati Uniti.

L'amministrazione Trump sta modificando un precedente ordine emesso quasi 10 anni fa dal presidente Obama. Ora le sanzioni non possono essere applicate in nessuna attività legata alle elezioni e solo agli attori stranieri dannosi per prevenire l'uso improprio contro avversari politici nazionali.

Infine, l'ordine esecutivo ha anche eliminato parte del testo di un precedente ordine esecutivo che incaricava l'Office of Management and Budget (OMB) di consigliare le agenzie su come affrontare i rischi legati alla concentrazione di fornitori IT.

Indipendentemente dall'orientamento politico di qualsiasi professionista della sicurezza informatica, l'unica cosa su cui tutti possono concordare è che il governo federale degli Stati Uniti rappresenta un esempio da seguire per gli altri. Pertanto, i cambiamenti che si basano più su suggerimenti piuttosto che su requisiti renderanno il raggiungimento e il mantenimento della sicurezza informatica molto più impegnativo.