L'ordine esecutivo di Biden mira a rafforzare la sicurezza informatica degli Stati Uniti — ProPublica
Giovedì, nella sua ultima settimana di mandato, il presidente Joe Biden ha emanato un ordine esecutivo volto a rafforzare le difese informatiche del Paese, in parte imponendo ai fornitori di software come Microsoft di dimostrare di soddisfare determinati standard di sicurezza prima di poter vendere i propri prodotti al governo federale.
L'azione fa seguito a una serie di attacchi informatici avvenuti negli ultimi anni, in cui hacker legati a Russia, Cina e altri avversari hanno sfruttato vulnerabilità del software per rubare documenti sensibili da agenzie federali.
Nel chiedere maggiore responsabilità ai produttori di software, Biden ha citato casi in cui gli appaltatori "si impegnano a seguire le pratiche di sicurezza informatica, ma non correggono vulnerabilità sfruttabili ben note nei loro software, il che mette il governo a rischio di compromissione".
A giugno, ProPublica ha riportato un caso simile che coinvolgeva Microsoft, il più grande fornitore di servizi IT per il governo federale. Nel cosiddetto attacco SolarWinds, scoperto poco prima dell'insediamento di Biden, hacker sponsorizzati dallo stato russo hanno sfruttato una vulnerabilità in un prodotto Microsoft per rubare dati sensibili dalla National Nuclear Security Administration e da altre agenzie. ProPublica ha scoperto che, per anni, i dirigenti di Microsoft hanno ignorato gli avvertimenti sulla falla provenienti da uno dei loro ingegneri, temendo che ammetterla pubblicamente avrebbe alienato il governo federale e fatto perdere terreno alla concorrenza.
Secondo quanto riportato dall'agenzia di stampa, questa cultura che privilegiava il profitto alla sicurezza era in gran parte alimentata dalla corsa per conquistare quote di mercato nel settore multimiliardario del cloud computing. Un ex supervisore di Microsoft ha descritto questo atteggiamento con queste parole: "Fai tutto il necessario per vincere, perché devi vincere".
Microsoft ha difeso la sua decisione di non intervenire sulla falla, dichiarando a ProPublica a giugno che la valutazione dell'azienda all'epoca prevedeva "diverse revisioni" e che, nel prendere decisioni in materia di sicurezza, considera diversi fattori, tra cui "la potenziale interruzione dei servizi per i clienti, la sfruttabilità della vulnerabilità e le soluzioni disponibili". Tuttavia, nei mesi e negli anni successivi all'attacco hacker a SolarWinds, le falle nella sicurezza di Microsoft hanno contribuito ad altri attacchi contro il governo, tra cui uno nel 2023 in cui hacker collegati al governo cinese hanno avuto accesso alle email di alti funzionari statunitensi. Il Cyber Safety Review Board federale ha successivamente rilevato che l'azienda aveva declassato gli investimenti in sicurezza e la gestione del rischio, provocando una "cascata di... errori evitabili".
Microsoft si è impegnata a mettere la sicurezza "al di sopra di ogni altra cosa".
Certamente, Microsoft non è l'unica azienda i cui prodotti hanno fornito agli hacker l'accesso alle reti governative. Gli hacker russi, nell'attacco a SolarWinds, hanno ottenuto l'accesso alle reti delle vittime tramite aggiornamenti software infetti forniti dalla società texana SolarWinds, prima di sfruttare la vulnerabilità del prodotto Microsoft.
Per contribuire a prevenire futuri attacchi informatici, il governo vuole che le aziende IT forniscano la prova di utilizzare "pratiche di sviluppo software sicure per ridurre il numero e la gravità delle vulnerabilità" nei loro prodotti, secondo quanto stabilito dall'ordinanza. Inoltre, il governo "deve adottare pratiche di gestione del rischio di terze parti più rigorose" per verificare l'utilizzo di tali pratiche, ha affermato Biden. Ha chiesto modifiche al Federal Acquisition Regulation, il regolamento per gli appalti pubblici, per attuare le sue raccomandazioni. Se pienamente attuate, le violazioni dei nuovi requisiti potrebbero comportare l'avvio di azioni legali nei confronti dei trasgressori.
Biden ha anche affermato che rafforzare la sicurezza dei “sistemi di gestione dell’identità” federali era
“particolarmente critico” per migliorare la sicurezza informatica del Paese. Infatti, il prodotto Microsoft al centro dell'articolo di ProPublica di giugno era un cosiddetto prodotto “di identità” che consentiva agli utenti di accedere a quasi tutti i programmi utilizzati sul lavoro con un unico login. Sfruttando la vulnerabilità del prodotto di identità durante l'attacco a SolarWinds, gli hacker russi sono stati in grado di intercettare rapidamente le email dalle reti delle vittime.
A novembre, ProPublica ha riportato che Microsoft ha sfruttato la situazione creatasi a seguito dell'attacco a SolarWinds , offrendo alle agenzie federali prove gratuite dei suoi prodotti di sicurezza informatica. Questa mossa ha di fatto vincolato tali agenzie a licenze software più costose e ha ampliato notevolmente la presenza di Microsoft all'interno del governo federale. L'azienda ha dichiarato a ProPublica che la sua offerta era una risposta diretta a "una richiesta urgente dell'amministrazione di rafforzare il livello di sicurezza delle agenzie federali". Nel suo ordine esecutivo del 2021, Biden ha affrontato le conseguenze di tale richiesta, incaricando il governo federale di mitigare i rischi derivanti dalla "concentrazione di fornitori e servizi IT", un riferimento velato alla crescente dipendenza di Washington da Microsoft, che alcuni legislatori hanno definito una "monocultura della sicurezza informatica".
Sebbene l'ordine esecutivo segni una posizione più ferma nei confronti delle aziende tecnologiche che riforniscono il governo, l'attuazione spetterà all'amministrazione Trump. Non è chiaro se il presidente eletto porterà a termine le modifiche introdotte dall'ordine esecutivo. Il presidente eletto Donald Trump ha posto l'accento sulla deregolamentazione, pur avendo indicato che la sua amministrazione adotterà una linea dura nei confronti della Cina, uno dei principali avversari informatici degli Stati Uniti.
Né Microsoft né il team di transizione di Trump hanno risposto alle richieste di commento in merito all'ordinanza.
L'ordine esecutivo di giovedì è l'ultimo di una serie di provvedimenti normativi che hanno colpito Microsoft negli ultimi giorni dell'amministrazione Biden. Il mese scorso, ProPublica ha riportato che la Federal Trade Commission (FTC) sta indagando sull'azienda per verificare se le sue pratiche commerciali violino le leggi antitrust. Gli avvocati della FTC hanno condotto interviste e organizzato incontri con i concorrenti di Microsoft, e un'area chiave di interesse è il modo in cui l'azienda combina i popolari prodotti Office con servizi di sicurezza informatica e cloud computing.
Questa cosiddetta pratica di "bundling" è stata oggetto dell'inchiesta di ProPublica di novembre , che ha dettagliato come, a partire dal 2021, Microsoft abbia utilizzato tale pratica per escludere i concorrenti da lucrosi contratti federali. La FTC considera il fatto che Microsoft abbia ottenuto più appalti federali pur rendendo il governo vulnerabile agli attacchi informatici come un esempio del potere problematico dell'azienda sul mercato, ha dichiarato a ProPublica una persona a conoscenza dell'indagine.
Microsoft si è rifiutata di commentare i dettagli dell'indagine, ma il mese scorso ha dichiarato a un'agenzia di stampa che la recente richiesta di informazioni da parte della FTC è "ampia, di vasta portata e richiede cose che vanno oltre il regno del possibile, persino dal punto di vista logico".
La nuova dirigenza della commissione, scelta da Trump, deciderà il futuro di quell'indagine.
