Siete rimasti sbalorditi della violazione che ha subito l’Ufficio di gestione del personale del governo degli Stati Uniti la scorsa primavera? Il massiccio attacco informatico, che si può confermare essere il peggiore subito dagli Stati Uniti, ha portato alla sottrazione di qualcosa come 22mila dati personali di dipendenti del governo americano.
La domanda che sorge spontanea è: come può un’organizzazione di così alto livello, le cui informazioni sono gestite senza la responsabilità e la supervisione di un dirigente, affrontare un rischio così elevato che può addirittura mettere a repentaglio la sicurezza nazionale?
Sulla sicurezza si possono prendere decisioni molto o poco intelligenti
Come altri dipartimenti federali, l’Ufficio di gestione del personale (OPM) è un’agenzia monolitica, gestito da dirigenti con nomina politica che, nella maggior parte dei casi, non hanno la competenza per prendere decisioni intelligenti per quanto riguarda la sicurezza informatica. Ancora più importante, la maggior parte degli amministratori del governo degli Stati Uniti non hanno persone all’interno delle varie organizzazioni, che hanno il potere di apportare cambiamenti. Inoltre, molti dirigenti, semplicemente non sono le persone giuste per svolgere determinati compiti, soprattutto quelli più delicati. Nei dipartimenti governativi degli Stati Uniti la figura del CIO o del CISO è rappresentata, in genere, da un Senior Executive Service (SES) che ha un livello 3 di dirigenza, con uno stipendio annuo di circa 168 mila dollari, con pochi incentivi e nessuna stock option. Un CISO con un ruolo equivalente, in un’azienda delle dimensioni dell’Ufficio di gestione del personale, che ospita e gestisce i dati riguardanti i dipendenti del governo attuali e passati, quelli in cerca di lavoro, e che controlla per ognuno di essi i precedenti penali e archivia le impronte digitali, godrebbe di uno stipendio annuo di circa 400 mila dollari. Portare all’interno dei vari dipartimenti governativi, persone di talento e di alto livello è quindi molto difficile, e non solo per la differenza di retribuzione. Infatti, l’assunzione diretta di un SES richiede la composizione di una commissione indipendente che valuta il candidato secondo cinque parametri di chiamati Executive Core Qualifications individuate, ironia della sorte, proprio dell’Ufficio di gestione del personale.
Le cinque Executive Core Qualifications sono le seguenti
- ECQ1: predisposizione al cambiamento
- ECQ2: gestione del personale
- ECQ3: acume commerciale
- ECQ4: motivazione al raggiungimento dei risultati
- ECQ5: lavoro e coesione in un team
Il processo per l’assunzione è lungo, frustrante e alla fine, misterioso. La testimonianza arriva da un cittadino americano che ha fatto richiesta per essere assunto come CISO presso il Dipartimento del Commercio. L’uomo ha ricevuto una lettera d’intenti, dove si speigava che poteva essere la persona giusta per quel ruolo, ma ha rifiutato dopo mesi di attesa, nella vana speranza che la commissione ECQ fornisse l’elenco dei documenti necessari da presentare per espletare le trafile burocratiche per essere regolarmente assunto.
Propensione al rischio
Quello che è successo all’Ufficio di gestione del personale degli Stati Uniti può accadere ovunque, soprattutto, come in questo caso, dove la minaccia è il relativo furto è stato compiuto da un gruppo di hacker sponsorizzato (si parla di hacker al soldo del governo cinese) che hanno utilizzato tecniche e tattiche sofisticate che si possono definire lo stato dell’arte in materia di attacchi informatici. È solo quando i dirigenti di alto livello capiscono i rischi a cui possono andare incontro che autorizzano i team IT dedicati alla sicurezza a sviluppare e implementare misure attive contro queste minacce, che diventano implacabili quando colpiscono. Nel settore privato, il rischio informatico è l’elemento numero uno a cui si dedicano i dirigenti corporate più attivi. Gli amministratori dei sistemi premono sui CEO per metterli al corrente dei danni a cui l’azienda può andare in contro a causa di una violazione dei dati. A loro volta, i CEO, stanziano gli investimenti necessari per dotare l’azienda di strumenti di sicurezza di qualità, persone dedicate e con le competenze necessarie, per far fronte a questi rischi.
Non tutte le aziende hanno lo stesso potenziale rischio di violazione dei dati. Aziende nei settori dell’alta tecnologia, nella difesa o areospaziali sono alcuni degli obiettivi storici degli hacker. Ma ormai la maggior parte di queste società ha fatto investimenti che sono considerati ragionevoli per la propria sicurezza informatica. In molte aziende, il budget destinato alla sicurezza informatica aumenta solo dopo aver subito una violazione o un incidente di alto profilo. Le aziende che sono a basso rischio e non sono nel mirino di hacker sponsorizzati o gruppi di pirati informatici, possono adottare una strategia che consenta una tolleranza del rischio più elevata con conseguenti minori investimenti nei programmi di sicurezza.
La domanda su come fermare o rallentare questi tipi di attacco ha ormai una risposta certa. Le competenze e le tecnologie attuali sono mature, e possono prevenire o quanto meno mitigare lo stesso tipo di attacco che ha colpito l’Ufficio di gestione del personale degli Stati Uniti. Molte aziende, e alcune organizzazioni governative, stanno implementando difese efficaci contro la maggior parte dei rischio che sono consapevoli di correre, comprese le cosiddette minacce avanzate persistenti, in gergo abbreviate con la sigla APT.
Qual è quindi la differenza tra queste aziende private e l’Ufficio di gestione del personale degli Stati Uniti? Fondamentalmente sono due: responsabilità e leadership. L’Ufficio di gestione del personale non può essere citato in giudizio dai cittadini a cui sono state sottratte informazioni sensibili. Non sarà nemmeno multato. Anche se Katherine Archuleta, direttrice dell’Ufficio di gestione del personale, si è dimesso dopo pressioni politiche, sembra non ci sia una grande fretta nell’affrontare alcuni dei principali difetti sulla reattività a un attacco dei sistemi di sicurezza dell’Ufficio che gestiva. Questo significa che l’organizzazione di base e le questioni culturali relative al lavoro di questi apparati monolitici sono ancora molto difficili da cambiare.
Livelli di gestione
Da un controllo del sito web dell’Ufficio di gestione del personale degli Stati Uniti emerge un gran numero di consulenti senior e direttori. Una gerarchia che non è in linea con quella attuata da molte aziende quando si tratta della propria sicurezza informatica. La nuova direttrice dell’Ufficio di gestione del personale, (CIO) Beth Cobert, dispone di 62 alti dirigenti, divisi in quattro gruppi di lavoro che riportano direttamente a lei. All’interno di uno dei quattro gruppi, chiamato Funzioni di supporto, c’è un CIO che risponde al nome di Donna Seymour: ha 28 persone direttamente sotto di lei e quattro gruppi di reporting, ma nessuno di questi è dedicato alla sicurezza informatica dell’Ufficio. C’è un riferimento a questa funzione con un Security Operations Center IT, ma la funzione di CISO (sempre che ce ne sia uno) non è nell’elenco. Seymour è un dipendente pubblico con 34 anni di carriera, dove ha ricoperto un mix di ruoli politici e di gestione IT presso, tra gli altri, il Dipartimento della Difesa. Ha una laurea in informatica e una lunga storia lavorativa nell’information technology ma, la sicurezza informatica, non è tra le sue competenze.
L’ufficio del CIO è responsabile della sicurezza informatica delle infrastrutture IT dell’Ufficio di gestione del personale. Nonostante un aggiornamento che ha sottolineato “la debolezza materiale nella governance della sicurezza delle informazioni” per carenze significative sulla base di una prevista riorganizzazione dell’Ufficio del CIO, un documento del Federal Security Information Management Act (FISMA) per la sicurezza federale della gestione delle informazioni per l’intero esercizio 2014 condotta dall’Ufficio dell’Ispettore Generale (OIG) ha trovato gravi carenze nella rete e nel modo in cui è stata gestita. Nell’Ufficio di gestione del personale mancava un inventario dei sistemi e delle procedure di configurazione di base, mentre 11 server erano in funzione senza una valida autorizzazione. I revisori non hanno potuto verificare in modo indipendente la bontà del software automatizzato che si occupa della scansione (mensile) delle vulnerabilità dei server dell’Ufficio di gestione del Personale. Un altro dato importante è stata la mancanza di un professionista della sicurezza in possesso di informazioni di alto livello sulla sicurezza della rete, ruolo tipicamente affidato a un CISO.
La riorganizzazione dell’Ufficio del CIO non è molto chiara. Sulla base di precedenti controlli e raccomandazioni da parte del FISMA, l’Ufficio di gestione del personale degli Stati Uniti si sta muovendo verso una gestione centralizzata per quanto riguarda la sicurezza, affidando tali compiti ai Information System Security Officers (ISSOs) che riportano direttamente al CIO. Le persone destinate a queste posizioni avranno anche competenze professionali sulla sicurezza, stando al rapporto FISMA. Nel corso del 2104 sono stati assunti quattro ISSOs, per i 17 sistemi informatici dell’Ufficio di gestione del personale, mentre altri 10 posti sono stati autorizzati ma ancora vacanti.
Il rapporto FISMA del 2014, che Seymour ha firmato il 21 ottobre 2014, ammoniva l’Ufficio di gestione del personale sulla pericolosa mancanza di aggiornamenti dei sofwatere installati nei sistemi, con alti rischi di intrusione legati alla vulnerabilità. Il rapporto non era tecnicamente molto dettagliato, ma dopo gli attacchi avvenuti, è chiaro che l’Ufficio della gestione del personale, era consapevole di avere gravi problemi a livello di sicurezza informatica. La mancanza di una strategia di autenticazione a più livelli efficace, la cattiva gestione dei diritti di accesso di ogni utente, un monitoriaggio inadeguato e un’inefficace e decentrata gestione delle sicurezza informatica sono i fattori che hanno determinato il più grave atto di violazione dei dati di un dipartimento federale degli Stati Uniti. Inoltre, dati sensibili non criptati e conservati in sistemi di database obsoleti si sono rivelati facilmente vulnerabili. Si è scoperto inoltre, contrariamente alle disposizioni del Governo degli Stati Uniti, che l’Ufficio di gestione del personale aveva appaltato a gestori cinesi alcuni dei suoi database. Tutte queste carenze erano state fatte notare all’Ufficio di gestione del personale in un documento del FISMA datato 2007.
Avversario motivato
Col senno di poi, visti gli atti di pirateria informatica sponsorizzati dagli Stati di tutto il mondo, il verificarsi di un attacco hacking e relativo successo, non dovrebbe essere una sorpresa. Il rapporto dell’OIG (Office of Inspector General) ha segnalato anche che ci sarebbe stato un impatto sulla sicurezza nazionale se i server dell’Ufficio di gestione del personale fossero stati violati. I segnali c’erano tutti: vulnerabilità constatate, nessuna posizione di leadership addetta alla sicurezza, e un avversario capace e motivato.
Ma allora cosa è successo nel periodo compreso tra l’ultimo rapporto OIG e la scoperta di perdita dei dati? Non molto, a quanto pare. La violazione è stata scoperta nell’aprile 2015, appena sei mesi dopo il rapporto OIG. Questo suggerisce che probabilmente l’attacco è stato portato molto prima. Numeri di previdenza sociale, informazioni sulla sicurezza, dati sulla liquidazione data ai dipendenti, impronte digitali, tutto è andato perso. Gli hacker, che si ritiene siano cinesi, sono stati in grado di rubare milioni di informazioni sensibili. Visti i risulti del rapporti OIG e la capacità dei gruppi di hacker cinesi, nessuno si dovrebbe meravigliare.
In una grande azienda privata, l’amministratore delegato, il CIO e il CISO sarebbe stati ritenuti responsabili dal Consiglio di Amministrazione di quanto successo. Alla fine, Katherine Archuleta, direttore dell’Ufficio di gestione del personale, la cui unica qualifica era il suo ruolo di direttore politico nazionale nella campagna per la rielezione del presidente Obama nel 2102, si è dimessa. Seymour, il cui compito principale era quello di consigliare Archuleta su come affrontare e gestire i rischi informatici è ancora il CIO dell’Ufficio di gestione del personale, ed è una cosa incredibile. Lei era in grado di affrontare i veri rischi per i dati di dell’Ufficio di gestione del personale ed esporre tali rischi al direttore dell’ufficio per forzare un piano di risanamento nel più breve tempo possibile. Il rapporto OIG nell’esercizio 2014 ha osservato che l’Ufficio di gestione del personale deve ancora “pienamente stabilire” una posizione executive per la gestione dei rischi informatici.
Come previsto, dopo la violazione, c’è stato un massiccio sforzo per ripulire anni di cattiva gestione delle infrastrutture IT e la manca di investimenti in persone e processi di sicurezza. La campagna “30-day Cybersecurity Sprint” ordinata dall’amministrazione Obama, ha colpito tutte le agenzie governative che sono state sollecitate (con un bel gruzzolo di dollari in arrivo extra budget) a correggere tutti i problemi riguardanti la sicurezza. Ma, senza una base forte, la mancanza di tempo e attenzione, potrebbe far diventare questo investimento inutile nel lungo periodo. Il panorama delle minacce cambia, gli strumenti e i processi si evolvono e le norme e i regolamenti si modificano. L’Ufficio delle gestione del personale, e il Governo degli Stati Uniti in generale, deve investire su dirigenti che siano competenti in materia di sicurezza informatica, e responsabilizzare i dipendenti già presenti dandogli l’autorità necessaria all’interno delle loro organizzazioni.
Un CISO con il mandato di bypassare l’apatia organizzativa e di denunciare i rischi che si incorrono a livello di sicurezza informatica agli alti dirigenti sembra sia una figura difficile da reclutare per le agenzie governative, ma fino a quando questo non accadrà esse dovranno continuare a lottare ad armi impari contro attacchi sempre più sofisticati, in attesa che una nuova “Cybersecurity Sprint” risolva i problemi.
