Come il Strengthening of the American CyberSecurity Act influisce sugli MSP nel 2023

How the American cybersecurity act affects MSPs blog banner

Il Presidente Joe Biden ha firmato il Strengthening of the American CyberSecurity Act nel marzo del 2022. La legge si compone di varie norme, ma sono i requisiti di segnalazione degli incidenti di sicurezza a creare scalpore nella comunità IT. Al momento gli obblighi di segnalazione si concentrano sulle infrastrutture critiche, ma è molto probabile che alla fine siano soggetti a questi obblighi anche enti di vari settori. Al momento in cui scriviamo, c’è ancora tempo per modificare i dettagli della legge. La legge prevede infatti che il direttore della Cybersecurity and Infrastructure Security Agency (CISA) pubblichi una proposta di regolamentazione entro 24 mesi dalla data in cui la legge è stata firmata. Il direttore ha quindi 18 mesi di tempo per emettere una norma definitiva per l’attuazione.  Ciò significa che la descrizione di quello che costituisce una “entità interessata” è piuttosto fluida e il tipo di aziende che saranno soggette alla legge potrebbe cambiare in base alle decisioni finali del direttore.  Ci sono molte speculazioni su ciò che questo significherà per i fornitori di IT nel lungo periodo, ma l’ipotesi sicura è stata quella di prepararsi che qualsiasi settore che rientri anche solo vagamente nella definizione di “infrastruttura critica” sia soggetto a questi requisiti.  In questo articolo discuteremo le basi del Cybersecurity Act, recentemente approvato, e come gli MSP possono orientarsi tra i cambiamenti che ne derivano. 

Che cos’è il Strengthening American CyberSecurity Act del 2022?

Il 1° marzo, il Senato degli Stati Uniti ha approvato una legge che riguarda il livello di sicurezza delle agenzie federali e delle organizzazioni con infrastrutture critiche.  Con un sostegno unanime, il Strengthening American Cybersecurity Act del 2022 stabilisce i requisiti di reportistica per le “entità interessate” e le infrastrutture critiche, il tutto allo scopo di rafforzare la difesa informatica delle infrastrutture americane.  Lo Strengthening American Cybersecurity Act del 2022  (indicato come “legge” in questo articolo) è composto da tre regolamenti:

Questa legislazione riguarda in gran parte le infrastrutture critiche, ma molto probabilmente preannuncia una tendenza. Di sicuro, in futuro verranno introdotte normative simili e il crescente interesse dei governi per la sicurezza digitale porterà a implicazioni diffuse nel futuro.  Questo non sorprende, considerando che gli attacchi e le vulnerabilità che colpiscono le infrastrutture critiche fanno notizia ad un ritmo allarmante. 

Cosa significa questa normativa per gli MSP

Allo stato attuale, la legge crea molti interrogativi per gli MSP. Il semplice fatto che le “entità interessate” siano definite in modo vago – e che probabilmente cambieranno in futuro – rende difficile per i fornitori di servizi informatici capire le implicazioni.  In realtà, molti dipartimenti IT e MSP sono giunti alla conclusione di non essere affatto regolamentati da questa nuova legge. Tuttavia, probabilmente manca un dettaglio fondamentale in questa valutazione: La legge fa riferimento diretto alla Presidential Policy Directive 21, creata nel 2013. Questa policy definisce il settore delle infrastrutture critiche come “sistemi e risorse, fisici o virtuali, così vitali per gli Stati Uniti che l’incapacità o la distruzione di tali sistemi e risorse avrebbe un impatto debilitante sulla sicurezza, sulla sicurezza economica nazionale, sulla salute o sulla sicurezza pubblica nazionale, o su qualsiasi combinazione di questi aspetti.” Più direttamente, la Presidential Policy Directive 21 mette in evidenza le seguenti industrie:

  • Alimentazione e agricoltura
  • Strutture governative
  • Sanità e salute pubblica
  • Tecnologia dell’informazione
  • Chimica
  • Strutture commerciali
  • Comunicazioni
  • Sistemi di trasporto
  • Sistemi di rifiuti e acque reflue
  • Produzione critica
  • Dighe
  • Base industriale della difesa
  • Servizi di emergenza
  • Energia
  • Servizi finanziari
  • Reattori nucleari, materiali nucleari e rifiuti radioattivi

Il settore della tecnologia dell’informazione è citato in modo specifico, il che significa che i dipartimenti IT e gli MSP saranno soggetti a questa nuova legge.  Ciò significa pure che gli MSP e i fornitori di servizi IT subiranno un “doppio colpo” se forniscono servizi per un’altra entità interessata, come l’assistenza sanitaria, le comunicazioni, i servizi finanziari o la difesa. Dovranno garantire che i loro clienti interessati e la loro attività rispettino la legge.

Segnalazione di incidenti di cybersecurity

Una parte fondamentale della legge prevede la creazione di un percorso chiaro di obblighi di segnalazione alla CISA. Il percorso così come definito facilita la condivisione interfunzionale delle informazioni tra la CISA e altre agenzie federali come l’FBI. In effetti, questi requisiti consentiranno alle agenzie di raccogliere dati e identificare più rapidamente gli attori delle minacce. Inoltre, questa legge stabilisce i requisiti minimi di segnalazione sia per i pagamenti di ransomware che per altri incidenti di cybersecurity. In caso di incidente di cybersecurity, la legge richiede le seguenti misure:

  • Una notifica al CISA dovrebbe avvenire entro 24-72 ore.
  • Questa notifica deve includere una descrizione completa dell’incidente e delle vulnerabilità sfruttate, nonché delle difese in atto al momento dell’incidente.
  • Il report deve indicare il tipo di informazioni che potrebbero essere state compromesse.
  • Tutte le informazioni di contatto o qualsiasi altra informazione aggiuntiva sulle parti responsabili (l’aggressore) dovrebbero essere rese note.
  • I dettagli di contatto dell’organizzazione colpita dovrebbero essere condivisi dalla CISA.
  • Se viene segnalato un attacco ransomware, è necessario includere la divulgazione della data di pagamento, le istruzioni di pagamento, la richiesta di riscatto e l’importo del riscatto.

Come si può immaginare, questi requisiti metteranno a dura prova molte organizzazioni che non sono in grado di identificare rapidamente una violazione e di classificarla prima di segnalarla.  Siamo tutti a conoscenza che le grandi imprese possono permettersi un personale IT interno o un fornitore di servizi gestiti in grado di segnalare questi incidenti in modo rapido ed efficiente, ma le aziende più piccole potrebbero non avere questa capacità. È ancora meno probabile che la PMI media sappia come raccogliere le informazioni pertinenti e presentare un report da sola. 

Valutazione e riduzione del rischio

Anche se il Strengthening Cybersecurity Act del 2022 potrebbe non riguardare immediatamente le entità che operano al di fuori delle infrastrutture critiche, gli MSP dovrebbero informare tutti i loro clienti che la protezione della cybersecurity è una fase cruciale della valutazione e della riduzione del rischio. Gli standard definiti in questa legge probabilmente influenzeranno il settore privato in futuro. Si tratta di un passo nella giusta direzione per la sicurezza e le aziende dovrebbero iniziare a prepararsi valutando i propri rischi di cybersecurity e adottando le misure necessarie per affrontarli prima dell’entrata in vigore delle nuove norme.  Alcune best practice che ogni azienda dovrebbe prendere in considerazione sono:

  • Adottare l’architettura zero trust e il controllo degli accessi: Molte organizzazioni operano ancora con accesso illimitato ai dati e ai sistemi sensibili. Implementando lo zero trust e configurando il controllo degli accessi secondo il principio del minimo privilegio, possono limitare l’accesso alle reti e all’ambiente informatico e ridurre al minimo il rischio complessivo.
  • Migliorare la sicurezza mobile e remota:La prevalenza dell’ambiente di lavoro remoto e delle politicy BYOD (Bring Your Own Device) hanno creato ulteriori rischi per molte aziende. Poiché i criminali informatici prendono spesso di mira i dispositivi mobili e le postazioni di lavoro remote, gli utenti devono adottare le misure appropriate per proteggere queste superfici dalle minacce. 
  • Ridurre i vettori di minaccia più comuni:Semplici passi verso migliori pratiche di sicurezza possono cambiare le carte in tavola per molte PMI. L’implementazione di un gestore di password, l’abilitazione dell’autenticazione a più fattori ove possibile e la formazione in materia di cybersecurity possono ridurre notevolmente il rischio informatico di un’azienda.

Ulteriori considerazioni

Stiamo iniziando a vedere una maggiore standardizzazione nel modo in cui le organizzazioni prevengono e rimediano agli incidenti di cybersecurity in generale. La firma di questa legge comporta alcune implicazioni aggiuntive che vale la pena considerare. Il FedRAMP è stato creato per facilitare l’adozione e l’utilizzo delle tecnologie cloud da parte del governo federale e aiuta le agenzie a implementare le moderne tecnologie cloud con particolare attenzione alla sicurezza. L’introduzione del Strengthening American Cybersecurity Act del 2022 offre alle organizzazioni del Federal Risk and Authorization Management Program (FedRAMP) l’opportunità di passare a tecnologie basate sul cloud.  Si presume che i regolamenti relativi al settore privato siano già in fase di elaborazione, anche se potrebbero passare anni prima di vedere qualcosa di scritto. Detto questo, sappiamo che i requisiti di sicurezza e di reportistica delineati dalla legge sono spesso proibitivi per motivi di costo per le organizzazioni più piccole, per cui presto potrebbe essere necessario che il governo sovvenzioni il finanziamento del monitoraggio e della risoluzione. Molti concordano sul fatto che potrebbe essere in arrivo un incentivo fiscale per le PMI che rafforzano la loro sicurezza informatica. Questo sarebbe probabilmente un vantaggio per gli MSP che spesso faticano a convincere i clienti che i costi della cybersecurity sono giustificati. 

Come fanno gli MSP a rimanere conformi all’American CyberSecurity Act del 2022?

Il Strengthening American Cybersecurity Act prevede sia sanzioni in caso di non conformità sia vantaggi per chi soddisfa i requisiti.  In termini di responsabilità dell’MSP, è importante notare che il CISA ha un ampio potere di richiedere informazioni ad un’entità interessata, compreso quello di emettere citazioni in giudizio. Se un’azienda o un MSP non si adegua alle indagini della CISA, il caso potrebbe essere sottoposto al Dipartimento di Giustizia degli Stati Uniti per l’applicazione delle norme con multe, sanzioni e persino l’incarcerazione. L’altro aspetto è che le entità conformi riceveranno un certo livello di protezione da parte del governo. Mantenendo la conformità, un’azienda sarebbe esente da qualsiasi causa civile e le informazioni fornite non potrebbero essere utilizzate contro di essa, anche se la vulnerabilità si fosse verificata a causa di un errore da parte dell’azienda.  Per capire meglio come la legge potrebbe influenzare il vostro MSP, diamo un’occhiata a cinque sezioni specifiche:

La sezione 107. Requisiti dell’agenzia per notificare gli enti del settore privato impattati dagli incidenti

Questa sezione delinea le modalità con cui le entità interessate devono segnalare gli incidenti che possono compromettere la riservatezza o l’integrità delle informazioni sensibili, in particolare quelle relative a un requisito di legge o normativo. Questa sezione descrive anche i requisiti di segnalazione degli incidenti che possono avere un impatto sui sistemi informatici utilizzati per trasmettere o conservare informazioni sensibili.

La sezione 108. Standard di sicurezza mobile

Questa sezione riguarda la valutazione della sicurezza delle applicazioni mobili e fornisce linee guida sul mantenimento di un inventario continuo di tutti i dispositivi mobili utilizzati dall’azienda. Naturalmente, delinea il livello di sicurezza mobile desiderata e il modo in cui i dati rilevanti devono essere condivisi con la CISA utilizzando l’automazione (quando applicabile).

La sezione 109. Conservazione di dati e registrazioni per la risposta agli incidenti

I dettagli sono ancora in fase di elaborazione, ma la legge stabilirà in ultima analisi quali tipi di registri e dati dovranno essere archiviati per le entità impattate e per quanto tempo tali dati dovranno essere conservati. Verrà stabilita una metodologia precisa per garantire che i registri rimangano a disposizione di agenzie governative selezionate per la stesura di rapporti, ma anche riservati per proteggere le informazioni di identificazione personale. I dettagli precisi di questa sezione dovrebbero essere definiti entro due anni. 

La sezione 112. Programma di caccia alle minacce in corso

Questa sezione stabilisce che le entità interessate devono “stabilire un programma per fornire servizi di caccia alle minacce in corso basati su ipotesi, sulla rete di ogni agenzia.” Dovranno essere in grado di riferire quali sono queste attività, quali minacce o vulnerabilità possono aver rivelato, nonché tutto ciò che è stato appreso da queste attività di caccia alle minacce. La caccia alle minacce fa parte di un approccio più proattivo alla cybersecurity. Questa sezione mostra che i legislatori non si accontentano più del fatto che le entità si limitino ad aspettare un attacco e a rispondere come necessario. Questo crea molte opportunità per gli MSP focalizzati sulla cybersecurity che possono fornire questi servizi di caccia alle minacce.

La sezione 114. Implementazione dell’architettura zero trust

Il zero trust è una metodologia che aumenta la sicurezza dei sistemi di rete interni partendo dal presupposto che nessun software, utente o dato può essere considerato sicuro o legittimo. Nell’ambito di questo approccio, l’accesso deve essere consentito solo a chi ne ha bisogno. Tutto ciò significa che gli utenti, gli amministratori e le applicazioni possono accedere solo alle aree della rete essenziali per il loro ruolo. In breve, la legge stabilisce che i dipartimenti IT devono:

  • Creare un team o dedicare risorse per identificare, isolare e rimuovere le minacce il più rapidamente possibile. In molti casi, l’MSP o l’MSSP soddisferanno questo suggerimento assumendosi tale responsabilità. 
  • Smettere di considerare le reti come affidabili e invece “presumere l’accesso” e implementare sempre controlli basati sull’ipotesi che ci sia un rischio o una minaccia.
  • Adottare il principio del minor privilegio nella creazione di programmi di sicurezza delle informazioni e nella gestione dell’accesso amministrativo.
  • Utilizzare metodi e architetture che limitino gli spostamenti laterali all’interno della rete, ad esempio utilizzando la micro-segmentazione.

La collaborazione con NinjaOne

NinjaOne è qui per aiutare gli MSP a gestire la loro attività in modo efficiente e sicuro. Migliaia di utenti si affidano al nostro software RMM all’avanguardia per affrontare le complessità della moderna gestione IT.  Non sei ancora un partner Ninja? Vogliamo aiutarti a far crescere la tua attività! Visita il nostro blog per trovare risorse e guide utili per gli MSP, iscriviti a Bento per ricevere importanti indicazioni nella tua casella di posta elettronica e partecipa alle nostre Live Chat per discutere a tu per tu con gli esperti del canale.  Se sei pronto a diventare un partner di NinjaOne, programma una demo o inizia la tua prova per scoprire perché oltre 9000 clienti hanno già scelto Ninja come partner per la sicurezza e la gestione remota.

Passi successivi

Le basi della sicurezza dei dispositivi sono fondamentali per lo stato della tua sicurezza complessiva. NinjaOne semplifica l’applicazione di patch, l’hardening, la protezione ed il backup di tutti i dispositivi in modo centralizzato, da remoto e anche su larga scala.

Ti potrebbe interessare anche

Vuoi diventare un Ninja dell’IT?

Scopri come NinjaOne può aiutarti a semplificare le operazioni IT.
Guarda una demo×
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.