L'amministrazione Biden richiede alle agenzie federali civili di correggere centinaia di falle di sicurezza informatica, come riportato in precedenza dal Wall Street Journal. Come afferma il WSJ, la direttiva BOD 22-01 della Cybersecurity and Infrastructure Security Agency (CISA) copre circa 200 minacce note scoperte dagli esperti di sicurezza informatica tra il 2017 e il 2020, nonché altri 90 difetti riscontrati nel 2021. Le agenzie federali hanno sei mesi per correggere le minacce più vecchie e solo due settimane per correggere quelle scoperte nell'ultimo anno.
Il rapporto del WSJ sottolinea che le agenzie federali di solito sono lasciate a se stesse quando si tratta di sicurezza, il che a volte si traduce in una cattiva gestione della sicurezza. L'obiettivo è costringere le agenzie federali a correggere tutte le potenziali minacce, siano esse gravi o meno, e stabilire un elenco di base da seguire per altre organizzazioni private e pubbliche. Mentre le vulnerabilità zero-day che sfruttano aperture precedentemente sconosciute ottengono i titoli principali, affrontare “il sottoinsieme di vulnerabilità che stanno causando danni ora” può anticipare molti incidenti.
Le agenzie federali hanno sei mesi per correggere le minacce più vecchie
In precedenza, un ordine del 2015 concedeva alle agenzie federali un mese per risolvere le minacce ritenute “rischio critico”. Questo è stato modificato nel 2019 per includere le minacce classificate come “ad alto rischio”, come sottolineato dal WSJ. Il nuovo mandato prende le distanze dal dare priorità a specifici livelli di minaccia e riconosce invece che piccoli buchi possono causare rapidamente problemi più grandi se gli hacker riescono a trovare un modo per trarne vantaggio.
“La direttiva stabilisce requisiti chiari per le agenzie civili federali affinché agiscano immediatamente per migliorare le loro pratiche di gestione della vulnerabilità e ridurre drasticamente la loro esposizione agli attacchi informatici”, afferma il direttore della CISA Jen Easterly. “Mentre questa direttiva si applica alle agenzie civili federali, sappiamo che le organizzazioni in tutto il paese, comprese le entità di infrastrutture critiche, sono prese di mira utilizzando queste stesse vulnerabilità. È quindi fondamentale che ogni organizzazione adotti questa Direttiva e dia priorità alla mitigazione delle vulnerabilità elencate nel catalogo pubblico di CISA.”
L'elenco di vulnerabilità note appena rilasciato da CISA include in particolare il difetto di Microsoft Exchange Server. A marzo, le e-mail di oltre 30.000 organizzazioni governative e commerciali statunitensi sono state hackerate da un gruppo cinese, grazie a quattro note falle di sicurezza che, se fossero state riparate, avrebbero impedito gli attacchi. L'elenco di CISA richiede la correzione della “vulnerabilità di esecuzione del codice remoto di Microsoft Exchange” e chiede alle agenzie federali di installare le patch SolarWinds disponibili entro maggio 2022.
Anche la piattaforma Solarwinds Orion è nell'elenco, che è stata vittima di un grave attacco alla fine del 2020 che ha compromesso le agenzie governative statunitensi. La CISA rileva che “l'API di SolarWinds Orion è vulnerabile a un bypass di autenticazione che potrebbe consentire a un utente malintenzionato remoto di eseguire comandi API”.
La sicurezza informatica è stata una priorità per il presidente Biden da quando è entrato ufficio. A maggio, ha firmato un ordine esecutivo per aiutare a prevenire futuri disastri di sicurezza informatica. L'ordine impone l'autenticazione a due fattori in tutto il governo federale, stabilisce un protocollo per rispondere agli attacchi informatici e forma un comitato di revisione della sicurezza informatica, tra le altre misure di sicurezza.