Il cloud è diventato essenziale per la nostra vita quotidiana, ha dichiarato in un’intervista Kemba Walden, il direttore informatico nazionale ad interim. Se viene interrotto, potrebbe creare grandi sconvolgimenti potenzialmente catastrofici per la nostra economia e per il nostro governo.
In sostanza, ha detto, il cloud ora è troppo grande per fallire.
Il timore: nonostante tutta la loro esperienza in materia di sicurezza, i giganti del cloud offrono obiettivi concentrati che gli hacker potrebbero utilizzare per compromettere o disabilitare un’ampia gamma di vittime contemporaneamente. Il crollo di un importante fornitore di servizi cloud potrebbe impedire agli ospedali di accedere alle cartelle cliniche; paralizzare porti e ferrovie; corrompere il software che fa funzionare i mercati finanziari; e cancellare i database di piccole imprese, servizi pubblici e agenzie governative.
Un singolo fornitore di servizi cloud in calo potrebbe abbattere Internet come una pila di tessere del domino, ha affermato Marc Rogers, responsabile della sicurezza presso la società di sicurezza hardware Q-Net Security ed ex capo della sicurezza delle informazioni presso il fornitore di distribuzione di contenuti Cloudflare.
E i server cloud non si sono dimostrati sicuri come speravano i funzionari governativi. Gli hacker di nazioni come la Russia hanno utilizzato i server cloud di aziende come Amazon e Microsoft come trampolino di lancio per lanciare attacchi contro altri obiettivi. Inoltre, i gruppi di criminali informatici affittano regolarmente infrastrutture dai fornitori di servizi cloud statunitensi per rubare dati o estorcere le aziende.
Tra gli altri passaggi, l’amministrazione Biden ha recentemente affermato che richiederà ai fornitori di servizi cloud di verificare l’identità dei propri utenti per impedire agli hacker stranieri di affittare spazio sui server cloud statunitensi (implementando un’idea introdotta per la prima volta in un ordine esecutivo dell’amministrazione Trump). E la scorsa settimana l’amministrazione ha avvertito nella sua strategia nazionale di sicurezza informatica che stanno arrivando più normative sul cloud dicendo che prevede di identificare e colmare le lacune normative nel settore.
In una serie di interviste su questo nuovo approccio più duro, i funzionari dell’amministrazione hanno sottolineato che non si arrenderanno al cloud. Invece, stanno cercando di garantire che la rapida crescita non si traduca in nuovi rischi per la sicurezza.
I servizi cloud possono alleggerire gran parte del carico di sicurezza degli utenti finali sollevandoli da pratiche di sicurezza difficili e dispendiose in termini di tempo, come l’applicazione di patch e aggiornamenti software, ha affermato Walden. Molte piccole imprese e altri clienti semplicemente non dispongono delle competenze e delle risorse per proteggere i propri dati da hacker sempre più abili.
I problemi sorgono quando quei fornitori di servizi cloud non forniscono il livello di sicurezza che potrebbero.
Finora, i fornitori di servizi cloud non hanno fatto abbastanza per impedire agli hacker criminali e statali di abusare dei loro servizi per organizzare attacchi all’interno degli Stati Uniti, hanno affermato i funzionari, indicando in particolare la campagna di spionaggio di SolarWinds del 2020, in cui le spie russe hanno evitato in parte il rilevamento da parte di noleggiare server da Amazon e GoDaddy. Per mesi li hanno usati per passare inosservati in almeno nove agenzie federali e 100 aziende.
Questo rischio è solo in crescita, ha affermato Rob Knake, vicedirettore informatico nazionale per la strategia e il budget. Gli hacker stranieri sono diventati più abili nell’attivare e disattivare rapidamente nuovi server, ha detto in effetti, passando così rapidamente da un servizio noleggiato all’altro che i nuovi contatti si prosciugano per le forze dell’ordine statunitensi più velocemente di quanto possano rintracciarli.
Inoltre, i funzionari statunitensi esprimono una significativa frustrazione per il fatto che i fornitori di servizi cloud spesso addebitano ai clienti l’aggiunta di protezioni di sicurezza sia sfruttando la necessità di tali misure sia lasciando una falla nella sicurezza quando le aziende decidono di non spendere soldi extra. Quella pratica ha complicato le indagini federali sull’attacco SolarWinds, perché le agenzie che sono state vittime della campagna di hacking russa non avevano pagato un extra per le funzionalità avanzate di registrazione dei dati di Microsoft.
La realtà è che oggi la sicurezza del cloud è spesso separata dal cloud, ha dichiarato la scorsa settimana Anne Neuberger, vice consigliere per la sicurezza nazionale per la tecnologia informatica e emergente, durante un evento di lancio della nuova strategia informatica. Dobbiamo arrivare a un punto in cui i fornitori di servizi cloud dispongano di sicurezza integrata.
Quindi la Casa Bianca sta pianificando di usare tutti i poteri che può esercitare per far sì che ciò accada limitato come sono.
Negli Stati Uniti non abbiamo un regolatore nazionale per il cloud. Non abbiamo un Ministero delle Comunicazioni. Non abbiamo nessuno che si faccia avanti e dica: “È nostro compito regolamentare i fornitori di servizi cloud”, ha affermato Knake, dell’ufficio strategia e budget. Il cloud, ha affermato, deve avere una struttura normativa attorno ad esso.
L’ufficio di Knakes sta correndo per trovare nuovi modi per sorvegliare il settore utilizzando un miscuglio di strumenti esistenti, come i requisiti di sicurezza per settori specifici come quello bancario e un programma chiamato FedRAMP che stabilisce i controlli di base che i fornitori di servizi cloud devono soddisfare per vendere al governo federale.
Parte di ciò che lo rende difficile è che né il governo né le aziende che utilizzano i fornitori di servizi cloud conoscono appieno le protezioni di sicurezza che i fornitori di servizi cloud hanno in atto. In uno studio del mese scorso sull’uso dei servizi cloud da parte dei settori finanziari statunitensi, il Dipartimento del Tesoro ha rilevato che le società cloud fornivano una trasparenza insufficiente per supportare la due diligence e il monitoraggio e le banche statunitensi non potevano comprendere appieno i rischi associati ai servizi cloud.
Ma i funzionari governativi affermano di vedere segni che l’atteggiamento dei fornitori di servizi cloud sta cambiando, soprattutto considerando che le aziende vedono sempre più il settore pubblico come una fonte di nuove entrate.
Dieci anni fa, avrebbero detto, Assolutamente no, ha detto Knake. Ma i principali fornitori di cloud hanno ora capito che se vogliono la crescita che vogliono avere, se vogliono essere all’interno di settori critici, in realtà non solo devono non ostacolare, ma devono fornire strumenti e meccanismi per rendere facile dimostrare la conformità alle normative, ha affermato.
La spinta per ulteriori normative non sta ricevendo obiezioni immediate dal settore del cloud.
Penso che sia molto appropriato, ha affermato Phil Venables, chief information security officer di Google.
Ma allo stesso tempo, Venables ha sostenuto che i fornitori di servizi cloud sono già soggetti a numerose normative, indicando FedRAMP e i requisiti che i fornitori di servizi cloud devono soddisfare per lavorare con entità regolamentate come banche, società di base industriale della difesa e agenzie federali, gli stessi strumenti Knake descritto come guazzabuglio.
La Casa Bianca ha delineato un regime normativo più aggressivo nella sua nuova strategia informatica. Ha proposto di ritenere i produttori di software responsabili di codice non sicuro e di imporre mandati di sicurezza più severi alle società di infrastrutture critiche, come i fornitori di servizi cloud.
Il mercato non ha previsto tutte le misure necessarie per garantire che non venga utilizzato in modo inappropriato, che sia resiliente e che sia un buon custode della piccola e media impresa sotto il suo ombrello, ha affermato John Costello, il capo di recente scomparso personale dell’Ufficio del Direttore Nazionale della Cibernetica.
Le società di cloud computing sono ansiose di lavorare con la Casa Bianca su un approccio armonizzato ai requisiti di sicurezza in tutti i settori, ha affermato Ross Nodurft, direttore esecutivo dell’Alliance for Digital Innovation, un gruppo commerciale tecnologico i cui membri includono i giganti del cloud Palo Alto Networks, VMWare, Google Cloud e AWS, il braccio di cloud computing di Amazon. Ha anche affermato che le aziende soddisfano già gli ampi requisiti di sicurezza esistenti per settori specifici.
Un portavoce di Microsoft, che non è membro di ADI, ha riferito a POLITICO di un post sul blog di giovedì di un dirigente Microsoft che ha fatto affermazioni simili secondo cui la società non vede l’ora di lavorare con le agenzie per elaborare normative appropriate. AWS ha affermato in una dichiarazione che dà la priorità alla sicurezza, ma non ha affrontato la questione se supporti una regolamentazione aggiuntiva. Oracle non ha risposto a una richiesta di commento.
Se il governo non riesce a trovare un modo per garantire la resilienza del cloud, teme che le conseguenze possano essere devastanti. I fornitori di servizi cloud sono effettivamente diventati tre o quattro singoli punti di errore per l’economia statunitense, ha affermato Knake.
Secondo uno studio del 2017 del colosso assicurativo Lloyds, un’interruzione in uno dei tre principali fornitori di servizi cloud della durata compresa tra tre e sei giorni potrebbe causare danni per 15 miliardi di dollari.
Tale collasso potrebbe essere innescato da un attacco informatico a un importante fornitore di servizi cloud, da un disastro naturale o causato dall’uomo che interrompe o interrompe l’alimentazione di un importante data center o semplicemente da un errore nella progettazione e nella manutenzione di un servizio cloud di base.
Se la Casa Bianca non può ottenere i risultati che desidera utilizzando le normative esistenti e persuadendo le aziende a migliorare volontariamente le pratiche, dovrà rivolgersi al Congresso. E questo potrebbe essere il suo più grande ostacolo.
Alcuni repubblicani hanno già criticato la strategia nazionale di sicurezza informatica della Casa Bianca per la sua forte enfasi sulla regolamentazione.
Dobbiamo chiarire i ruoli e le responsabilità della sicurezza informatica federale, non creare oneri aggiuntivi, per ridurre al minimo la confusione e le ridondanze in tutto il governo, Rep. Marco Verde (R.-Tenn.), presidente della House Homeland Security Committee, e Rep. Andrea Garbarino (RN.Y.), capo del suo sottocomitato per la protezione informatica e delle infrastrutture, ha dichiarato in una dichiarazione la scorsa settimana.
In qualità di guardiani del Comitato per la sicurezza interna della Camera, Garbarino e Green esercitano de facto il potere di veto su qualsiasi importante legislazione sulla sicurezza informatica che la Casa Bianca potrebbe inviare al Congresso.
A breve termine, ciò elimina la possibilità delle più ambiziose proposte politiche sul cloud delineate o accennate nella nuova strategia della Casa Bianca
Ciò potrebbe significare che l’amministrazione dovrà aumentare la pressione sulle aziende affinché facciano di più per conto proprio.
Trey Herr, un ex stratega della sicurezza senior che ha lavorato nel cloud computing presso Microsoft, ha affermato che le agenzie di sicurezza informatica potrebbero, ad esempio, richiedere ai capi dei principali fornitori di servizi cloud di presentarsi davanti ai vertici informatici del governo su base semi-regolare e dimostrare che stanno assumendo misure adeguate per gestire il rischio all’interno dei propri sistemi.
I principali fornitori di cloud hanno molti modi per parlare della sicurezza di un prodotto, ma pochi per gestire il rischio di tutti quei prodotti collegati insieme, ha affermato Herr, che ora è il direttore dell’iniziativa di cyber statecraft dell’Atlantic Council.
Una cosa è fare un buon lavoro costruendo un eliporto in cima alla tua casa, Egli ha detto. Ma nessuno chiede se la casa è costruita per gestire quell’eliporto in primo luogo.
#Problema #sicurezza #del #cloud #degli #amministratori #Biden #potrebbe #abbattere #Internet #una #pila #tessere #del #domino
Image Source : www.politico.com