Si combatte una delle battaglie più critiche del nostro tempo: la protezione dei dati sensibili che riguardano la sicurezza nazionale. Ma cosa succede quando chi è incaricato di proteggere queste informazioni fallisce? Questa è la storia di Morse Corp., un contractor della difesa che ha imparato a caro prezzo quanto sia cruciale la cybersecurity nel mondo moderno.
Un errore costoso
Il 26 marzo 2025, Morse Corp., un’azienda di Cambridge specializzata in contratti con l’esercito e l’aeronautica degli Stati Uniti, ha accettato di pagare 4,6 milioni di dollari per risolvere accuse legate a gravi mancanze nella sicurezza informatica. L’accusa principale? La società avrebbe richiesto pagamenti al governo pur sapendo di non aver rispettato i requisiti di cybersecurity previsti dai contratti.
Tra il 2018 e il 2022, Morse Corp. ha utilizzato un provider di email di terze parti che non soddisfaceva gli standard di sicurezza richiesti. Inoltre, per anni non ha implementato controlli fondamentali per la sicurezza informatica, nonostante questi fossero esplicitamente richiesti nei contratti con il Dipartimento della Difesa (DoD).
Ma non finisce qui: nel 2021, l’azienda ha dichiarato un punteggio di conformità alla sicurezza molto alto al Dipartimento della Difesa. Tuttavia, un’indagine successiva ha rivelato che il punteggio reale era significativamente più basso. L’errore è stato corretto solo mesi dopo, e solo in seguito a una citazione in giudizio.
Le conseguenze della negligenza
Le parole del procuratore statunitense Leah Foley sono state chiare: “I contractor federali devono rispettare i loro obblighi per proteggere le informazioni sensibili del governo dalle minacce informatiche”. Questo caso dimostra che le autorità sono pronte a intervenire duramente contro chi mette a rischio la sicurezza nazionale.
Il colonnello Keith K. Kelly, dell’Ufficio Frodi della Divisione Investigativa Criminale dell’Esercito, ha sottolineato l’importanza della cybersecurity per mantenere la prontezza operativa dell’esercito e proteggere i soldati sul campo. Anche l’Aeronautica ha ribadito che il mancato rispetto dei requisiti di sicurezza può avere conseguenze devastanti.
Il caso si è concluso anche con un risvolto interessante: un whistleblower interno all’azienda ha avviato una causa legale che è stata risolta con il pagamento di 851.000 dollari come parte del risarcimento.
Una minaccia sistemica
Il caso Morse Corp. è solo la punta dell’iceberg. Un rapporto pubblicato da CyberSheath nel dicembre 2022 ha rivelato problemi diffusi nella base industriale della difesa:
- Il 73% dei contractor non utilizza soluzioni avanzate per il rilevamento delle minacce.
- Il 79% non dispone di sistemi completi di autenticazione multi-fattore.
- L’87% ha ottenuto punteggi inferiori a 70 nel Supplier Performance Risk System (SPRS), ben al di sotto del livello accettabile.
- L’82% trova difficoltà a comprendere le normative governative sulla cybersecurity.
Questi numeri mettono in evidenza una vulnerabilità sistemica che rappresenta una minaccia diretta alla sicurezza nazionale. Eric Noonan, CEO di CyberSheath, ha definito questa situazione “un pericolo chiaro e presente”.
Il futuro della cybersecurity nella difesa
Per affrontare queste sfide, il governo degli Stati Uniti sta lavorando su nuove normative. Tra queste spicca il Cybersecurity Maturity Model Certification (CMMC), un sistema progettato per migliorare gli standard di sicurezza tra i contractor della difesa. Le principali novità includono:
- Certificazioni obbligatorie da parte di terzi (non più auto-dichiarazioni).
- Riduzione dei livelli di certificazione da cinque a tre.
- Maggiore enfasi sulla protezione dei dati sensibili lungo tutta la catena di fornitura.
Inoltre, il governo sta introducendo modifiche al Federal Acquisition Regulation (FAR) per standardizzare i requisiti di cybersecurity in tutti i contratti federali. Queste modifiche includono:
- Obblighi per la condivisione delle informazioni sulle minacce.
- Sviluppo e mantenimento obbligatorio dei Software Bill of Materials (SBOM), documenti che elencano tutti i componenti software utilizzati nei contratti federali.
- Collaborazione più stretta con agenzie come CISA e FBI durante gli incidenti informatici.
Implicazioni per i Contractor
Questi cambiamenti rappresentano una sfida significativa per le aziende del settore difesa. Tuttavia, offrono anche un’opportunità: chi saprà adattarsi rapidamente alle nuove regole potrebbe ottenere un vantaggio competitivo significativo.
Ecco alcune implicazioni chiave:
- Investimenti necessari: le aziende dovranno investire in infrastrutture e processi per garantire la conformità ai nuovi standard.
- Collaborazione rafforzata: sarà necessario instaurare relazioni più strette con le agenzie governative.
- Sicurezza della Supply Chain: la creazione degli SBOM richiederà maggiore trasparenza e controllo lungo tutta la catena di fornitura.
- Vantaggi competitivi: le aziende che dimostreranno una forte preparazione potrebbero guadagnare fiducia e contratti aggiuntivi.
La storia di Morse Corp. non è solo un ammonimento; è anche un’opportunità per riflettere sull’importanza cruciale della cybersecurity nel settore della difesa. Con l’evoluzione delle normative e delle minacce informatiche, le aziende devono adattarsi rapidamente o rischiare conseguenze finanziarie e reputazionali devastanti.
La battaglia per la sicurezza informatica non si combatte solo nei data center o nelle sale server: è una responsabilità condivisa tra governo e industria privata. E mentre ci muoviamo verso un futuro sempre più digitale, questa responsabilità diventa ogni giorno più critica.
