Cybersecurity in pericolo: la legge fondamentale che protegge l’America sta per scadere e cosa significa per noi

La scadenza della legge CISA 2015

Il termine fissato per il 30 settembre 2025 rappresenta un momento critico per la sicurezza informatica degli Stati Uniti, poiché una delle più importanti leggi di protezione potrebbe scadere se il Congresso non interviene. La Cybersecurity Information Sharing Act del 2015 (CISA 2015) ha giocato un ruolo fondamentale nella difesa informatica della nazione, consentendo uno scambio rapido e senza interruzioni di informazioni sulle minacce tra il governo e le aziende, senza introdurre ulteriori regolamentazioni. Questo atto ha reso possibile prevenire innumerevoli attacchi informatici nel corso dell’ultimo decennio. Solo quest’anno, le sue misure protettive hanno facilitato l’invio di avvisi sui rischi a migliaia di organizzazioni. La potenziale scadenza della legge CISA 2015 potrebbe scatenare un’ondata di attacchi informatici capace di mettere in ginocchio le piccole e medie imprese (PMI), che costituiscono una parte fondamentale della nostra economia.

La mia esperienza, avendo lavorato sia per l’FBI che per facilitare la collaborazione nell’industria, mi ha mostrato come CISA 2015 abbia trasformato il panorama della cybersecurity. La legge offre protezioni fondamentali contro la responsabilità legale, incoraggiando le aziende a condividere gli indicatori di rischio con il governo e tra loro. Inoltre, garantisce anche la protezione antitrust per la collaborazione tra le aziende. Tuttavia, senza queste garanzie, l’efficace scambio di informazioni, che ha reso le reti americane più sicure, sarà compromesso, lasciando il nostro sistema vulnerabile a future minacce.

La crisi delle PMI in arrivo

Le conseguenze della possibile scadenza della legge CISA 2015 ricadranno in modo particolare sulle piccole e medie imprese (PMI) degli Stati Uniti, un settore già vulnerabile in un panorama informatico in continua evoluzione. Dati recenti provenienti dallo studio sulle perdite causate dal cyber attacco di NetDiligence nel 2024 evidenziano che il costo medio di un attacco ransomware per le PMI ammonta a circa 432.000 dollari. Questa cifra può rappresentare per molte di queste aziende una somma insormontabile, considerando che non dispongono di risorse finanziarie sufficienti per affrontare lunghi periodi di inattività. In effetti, il 75% delle PMI può resistere operativamente solo dai tre ai quattro mesi prima di dover chiudere definitivamente i battenti.

Il panorama attuale è inoltre allarmante: le PMI rappresentano quasi il 98% delle richieste di assicurazione informatica, accumulando perdite totali di oltre 1,9 miliardi di dollari. Una riduzione delle capacità di prevenzione e risposta ai cyber attacchi, in seguito alla scadenza della CISA 2015, minerebbe l’intero sistema di allerta precoce che ha permesso alle aziende di rimanere all’avanguardia nelle tecniche di difesa. La mancanza di condivisione di informazioni robuste da parte del governo riguardo ai nuovi metodi d’attacco trasformerebbe le PMI in bersagli facili per i criminali informatici che scelgono di colpire le organizzazioni più vulnerabili, quelle che non possono permettersi gravi interruzioni nelle loro operazioni.

Impatti sulla salute e la sicurezza

Quando si parla di sicurezza informatica, le implicazioni nel settore sanitario sono particolarmente gravi, poiché attacchi ransomware non solo compromettono la stabilità economica delle istituzioni sanitarie, ma mettono in pericolo la vita dei pazienti. Un rapporto dell’Università del Minnesota evidenzia che tra il 2016 e il 2021, attacchi informatici hanno causato la morte di tra 42 e 67 pazienti Medicare. Questo dato testimonia una preoccupante tendenza in cui i criminali informatici prendono di mira gli ospedali, sapendo che queste strutture sono propense a pagare il riscatto per evitare rischi per la salute pubblica.

Se CISA 2015 dovesse scadere, gli ospedali e altre infrastrutture critiche non sarebbero in grado di ricevere tempestivi avvisi riguardo a nuove varianti di ransomware e altre metodologie di attacco. In un contesto sanitario, dove ogni secondo può fare la differenza, la rapidità nella condivisione delle informazioni è cruciale per garantire una risposta efficace in situazioni di emergenza medica. Ritardi possono significare conseguenze letali, specialmente quando i sistemi di supporto vitale sono compromettersi.

La sicurezza informatica nelle strutture sanitarie non è solo una preoccupazione gestionale, ma una questione di vita o di morte. Negli ultimi anni, i fornitori di servizi sanitari hanno intensificato gli sforzi per migliorare le loro difese informatiche, ma senza il supporto legislativo di CISA 2015, il rischio di degrado nella condivisione di informazioni critiche potrebbe esporre questi settori a minacce senza precedenti. La mancanza di un sistema di allerta precoce e di condivisione adeguata può creare situazioni dove la risposta alle emergenze viene seriamente compromessa, aumentando il rischio per i pazienti vulnerabili e per il sistema sanitario stesso.

Effetti economici a catena

Le conseguenze della potenziale scadenza della CISA 2015 non si limiteranno solo a specifiche aziende, ma porteranno effetti devastanti su un sistema economico già fragile. Le piccole e medie imprese (PMI), che rappresentano circa il 99% delle attività economiche americane, svolgono un ruolo cruciale nel sostenere l’occupazione e contribuire al prodotto interno lordo (PIL) nazionale. In effetti, secondo il U.S. Chamber of Commerce, le PMI sono responsabili di oltre il 43,5% del PIL degli Stati Uniti. Con una scadenza della legge, la possibilità di un crollo di queste imprese sarebbe inestimabile, generando un effetto domino che potrebbe compromettere l’intera economia.

La vulnerabilità delle PMI ai cyber attacchi è amplificata dall’assenza di un sistema di monitoraggio efficace e dalla capacità di condivisione di informazioni che questo atto legislativo garantisce. La perdita di questo supporto legislativo non solo metterebbe a rischio l’esistenza di innumerevoli queste aziende, ma minerebbe anche la competitività delle aziende americane sul mercato globale. I nostri concorrenti internazionali hanno già esaminato il nostro modello e stanno replicando le migliori pratiche per fortificare le proprie difese informatiche. Se la CISA non viene ri-autorizzata, si assisterà quindi a un’inversione di tendenza che favorirà le economie estere a discapito dei nostri interessi nazionali.

Inoltre, la situazione è aggravata dal fatto che il settore delle cybersecurity americani è all’avanguardia proprio grazie alla solida rete di condivisione delle informazioni che CISA 2015 ha facilitato, permettendo loro di sviluppare soluzioni superiori per affrontare le minacce emergenti. Qualsiasi rallentamento in questo flusso di informazioni potrebbe non solo colpire le PMI e le industrie, ma avrà anche ricadute significative sull’occupazione, con migliaia di posti di lavoro che potrebbero andare perduti. L’assenza di un quadro normativo forte potrebbe portare a un mondo in cui la sicurezza delle reti non è semplicemente una priorità, ma una condizione di necessità quotidiana che si basa su azioni reattive piuttosto che preventive.

La via da seguire: ri-autorizzazione immediata

Esiste un consenso bipartisan sul fatto che la CISA 2015 debba essere ri-autorizzata, un segnale chiaro della sua importanza cruciale nel contesto della sicurezza informatica nazionale. Figura di spicco come il Segretario della Homeland Security, Kristi Noem, si è espressa con urgenza per la necessità di una ri-autorizzazione, sottolineando che le partnership pubblico-private sono diventate più forti grazie alle linee guida di condivisione delle informazioni stabilite dalla legge. Senza questo supporto normativo, il progresso ottenuto negli ultimi dieci anni è a rischio. La ri-autorizzazione della CISA 2015 permetterebbe in maniera diretta il mantenimento dell’attuale ecosistema di Cybersecurity, favorendo la continuazione delle pratiche di condivisione delle informazioni che hanno dimostrato di essere efficaci nel prevenire danni significativi alle infrastrutture critiche.

Il percorso più diretto da seguire sarebbe una ri-autorizzazione pulita, che mantenga le basi consolidate negli anni e consenta al Congresso di affrontare eventuali miglioramenti tecnici in seguito. L’essenza della legge ha dimostrato in modo convincente il suo valore, prevenendo perdite economiche per miliardi e creando una cultura in cui la condivisione delle informazioni è diventata la regola e non l’eccezione. Un’interruzione di questo meccanismo non solo mette a repentaglio la sicurezza individuale delle imprese, ma influisce sull’intero panorama della cybersecurity americana.

In quest’epoca di divisioni politiche, la cybersecurity rappresenta uno dei pochi ambiti in cui si può trovare un accordo tra americani di diverse estrazioni politiche. È cruciale proteggersi da una serie di attacchi, provenienti da come i gruppi di attori statali cinesi, che manifestano l’uso di ransomware sfruttando vulnerabilità di SharePoint, fino agli attacchi di gruppi iraniani e a centinaia di bande di ransomware criminali attive in continuazione. Il futuro della sicurezza informatica negli Stati Uniti non dovrebbe dipendere da una maggiore regolamentazione o da un’eccessiva ingerenza del governo. Al contrario, la forza del modello di collaborazione costruito dalla CISA 2015 deve essere mantenuta. È fondamentale che le aziende e il governo lavorino insieme in un sistema di mutua assistenza per affrontare le minacce in modo collettivo.

Il Congresso è quindi chiamato a prendere una decisione cruciale entro il 30 settembre. Lasciare che il framework di condivisione delle informazioni crolli non solo devasterebbe le piccole e medie imprese, ma metterebbe in pericolo la vita di molte persone e compromettere il ruolo degli Stati Uniti come leader globale nella cybersecurity. L’azione è necessaria ora, prima che attacchi prevenibili diventino crisi irreparabili.