Da anni la collaborazione tra enti pubblici e privati è stata indicata come la strada da seguire per costruire un’efficace cybersecurity nazionale. Le infrastrutture critiche sono per lo più gestite da privati, il pubblico ha in genere il compito di regolare e spingere le buone pratiche. Come arrivare a un’efficace partnership tra pubblico e privato è stato finora oggetto di molte discussioni e poche realizzazioni concrete.

Sarà bene considerare quindi l’approccio seguito negli USA dall’Amministrazione Biden, che è risultato estremamente efficace per i risultati portati al tavolo comune. Lo scorso 25 agosto, il Presidente Biden ha indetto un incontro (chiamato da più parti come una “call to action” per la cybersecurity) chiamando i Ceo dei principali IT Player e altri rappresentanti delle assicurazioni e del mondo universitario.

L’incontro è parte di una serie di azioni messe in campo dal Presidente Biden dopo gli ultimi attacchi di alto profilo che hanno colpito quest’anno aziende ed enti pubblici USA: dallo sfruttamento della piattaforma SolarWinds Orion (è stato usato l’aggiornamento periodico del software per infettare oltre 300mila clienti) all’arresto delle condutture di carburante di Colonial Pipeline.

La chiamata alle armi con gli IT player aveva lo scopo di chiedere a tutti maggiore impegno, e ha prodotto in pochissimo tempo molti risultati: i Big Tech hanno infatti dichiarato di voler incrementare la sicurezza nei propri prodotti e servizi, spendendo miliardi di dollari in cybersecurity nei prossimi anni. “La Cybersecurity è il problema del decennio” ha detto Arvind Krishna, Ceo di IBM. Google ha parlato di investimenti per oltre 10 miliardi di dollari nei prossimi 5 anni, per espandere il proprio programma “Zero Trust”. Microsoft invece ha annunciato una spesa di 20 miliardi per integrare una “cybersecurity by design” nei propri servizi. Il Ceo di Microsoft, Satya Nadella, ha anche parlato di 150 milioni di dollari per aumentare la protezione delle agenzie governative USA. Impegno per le agenzie pubbliche viene anche dall’Amministrazione USA, che con  l’Executive order firmato di recente dal Presidente Biden, ha imposto a tutti gli enti di passare a metodi di accesso più sicuri, in particolare l’autenticazione a due fattori.

Apple si impegnerà a realizzare un programma per incrementare la sicurezza lungo la sua supply chain tecnologica, lavorando insieme ai fornitori high tech per diffondere processi di autenticazione multifattore e formazione sulla sicurezza. IBM ha annunciato invece nuove soluzioni di Data Storage per gli operatori di infrastrutture critiche, e ha detto che sta lavorando per realizzare metodi sicuri di crittografia per il quantum computing.

Un secondo tema che è stato dibattuto da Biden, con i rappresentanti dell’industria IT e di altri settori, è stato quello della mancanza di personale esperto sui temi della cybersecurity (si stima una domanda di 3,5 milioni di persone a livello globale nel 2021). Per uscire da una situazione sempre più critica, serve oggi una maggiore focalizzazione sulla formazione di personale esperto. IBM e Alphabet hanno promesso di preparare rispettivamente 150mila e 100mila professionisti della cybersecurity nei prossimi anni. AWS(Amazon Web Services), divisione di servizi cloud di Amazon, pensa di fornire ai propri utenti device gratuiti per un’autenticazione multifattore, in modo da rendere più sicura la gestione dei loro dati. Svilupperà inoltre piani di training sulla cybersecurity per aziende e singoli individui.

Presenti all’incontro anche alcune Università americane, che si sono dette pronte a incrementare i corsi per formare un maggior numero di studenti su questi temi. “Le minacce di cybersecurity sono pervasive: è diventato un problema nazionale, che richiede una risposta collettiva” ha detto Kathi Hiyane-Brown, presidente del Whatcom Community College. Whatcom è stato designato dalla National Science Foundation USA come centro avanzato nazionale per la formazione sulla cybersecurity, con un investimento di 7,5 milioni di dollari. Infine, promozione di standard e metodologie comuni: il NIST USA (National Institute of Standards and Technology) punterà a una maggiore collaborazione con l’industria per lo sviluppo di linee guida per infrastrutture più sicure.

Chiaramente non è pensabile riproporre la stessa iniziativa nel nostro Paese. Quello che però va sottolineato è la concretezza e la velocità con cui tutti hanno risposto alla chiamata del governo USA: sono state proposte misure, investimenti, collaborazioni e obiettivi comuni, che possono solo avere un impatto positivo sullo stato della sicurezza delle infrastrutture IT nei prossimi anni.