CISA cerca di espandere la missione in mezzo al tumulto

Il sconvolgimento intorno all'Cybersecurity and Infrastructure Security Agency (CISA) sta iniziando ad avere un impatto significativo sui team di sicurezza informatica che — senza alcuna protezione dalla responsabilità — sono, per ora, meno inclini a condividere informazioni su come si sono verificati i violazioni.

Allo stesso tempo, tuttavia, l'agenzia sta anche segnalando la sua intenzione di fornire una vasta gamma di servizi direttamente nel lungo termine, piuttosto che continuare a fare affidamento su un numero limitato di partner del settore.

Poco prima della chiusura del governo federale, il Congresso degli Stati Uniti non è riuscito a rinnovare il Cybersecurity Information Sharing Act, principalmente a causa delle obiezioni del senatore Rand Paul (R-KY), il quale è preoccupato che la legislazione originale consenta all'agenzia di eccedere la sua missione, approfondendo le campagne di disinformazione nelle ultime due elezioni presidenziali. Al centro di questo dibattito ci sono preoccupazioni sul fatto che, nei suoi sforzi per proteggere le infrastrutture elettorali critiche, CISA sia rimasta coinvolta in un dibattito politico sulle limitazioni percepite imposte alla libertà di parola.

Alcuni giorni dopo, il governo degli Stati Uniti shutdown, il che ha portato a licenziamenti che potrebbero avere un impatto significativo sulla capacità dell'agenzia di fornire determinati servizi, inclusi quelli che CISA fornisce a organizzazioni terze. Prima di questi tagli, CISA ha anche lasciato decadere un accordo di cooperazione con il Center for Internet Security (CIS) attraverso il quale è stato gestito un programma del Multi-State Information Sharing and Analysis Center (MS-ISAC). Ora CISA prevede di gestire direttamente il finanziamento per specifiche iniziative, oltre a fornire gratuitamente gli strumenti che sviluppa ai singoli stati e località.

Spostamento del focus

Tutte queste modifiche stanno avvenendo in un momento in cui CISA sta anche segnalando la sua intenzione di rinnovare il programma Common Vulnerabilities and Exposures (CVE) attualmente amministrato da Mitre Corp. Un documento CISA Strategic Focus pubblicato da CISA indica che l'agenzia sta esaminando come i CVE sono numerati e classificati, insieme a come le informazioni su di essi vengono distribuite, come parte di un nuovo focus sulla qualità.

In particolare, il documento richiede un impegno per una gestione priva di conflitti e imparziale rispetto ai fornitori, un ampio coinvolgimento multi-settoriale, processi trasparenti e una maggiore responsabilità. Quest'ultimo aspetto è, naturalmente, un argomento di grande interesse tra i professionisti della sicurezza informatica che si trovano regolarmente ad aspettare che gli sviluppatori creino e applichino patch alle applicazioni. La speranza è che se le organizzazioni saranno ritenute più responsabili nel fornire software con vulnerabilità note che i criminali informatici sfruttano, ce ne saranno molte meno.

Potrebbe passare del tempo prima che vengano apportati cambiamenti concreti, ma è evidente che l'ambito della missione CISA sta cambiando. Le risorse vengono chiaramente spostate da alcune iniziative in linea con le priorità stabilite dall'amministrazione Trump. È meno chiaro in che misura CISA disponga delle risorse necessarie per adempiere al suo mandato emergente, che include la fornitura diretta di una gamma più ampia di servizi.

Si spera che CISA torni a essere il punto di riferimento per la condivisione sicura delle informazioni sulle minacce, espandendo contemporaneamente la portata dei servizi che fornisce. La sfida, come sempre, è raggiungere tale mandato in un modo che inviti la minor quantità possibile di interferenze politiche.