Cybersicurezza: agenzie governative Usa bocciate all’esame

Preoccupatissimo del cyberspionaggio cinese, il governo statunitense non pensa a risolvere questo e altri problemi di sicurezza nel modo forse più ovvio: aggiornando i propri software e ponendo delle adeguate barriere a difesa di reti e database. Due tra i più diffusi e gravi difetti di molti sistemi informatici di agenzie governative alle dipendenze della Casa Bianca. Così, mentre Donald Trump cerca nuovi modi per scoraggiare le importazioni dalla Cina (con i dazi) e in qualche caso bloccarle (con gli ordini esecutivi, come quello che colpisce Huawei), organi come il Dipartimento di sicurezza interna e il Dipartimento di Stato non si accorgono dei rischi covati al loro interno. Da qui, oltre che (eventualmente) da nuove infrastrutture e dispositivi 5G, le minacce informatiche possono entrare.

Un nuovo report realizzato dalla Permanent Subcommittee on Investigations (Psi) del Senato statunitese, pubblicato in settimana, ha svelato non pochi problemi all’interno di otto agenzie governative, colpevoli di non soddisfare alcuni essenziali requisiti di cybersicurezza. La sottocommissione ha lavorato otto mesi per rivedere dieci anni di relazioni sulla compliance realizzati da ispettori governativi sul Dipartimento di Stato, su quelli dei Trasporti, dell’Agricoltura, della Salute e servizi umani, dell’Istruzione, della Casa e sviluppo urbano, della Sicurezza sociale e della Sicurezza interna.

Uno tra i fatti più gravi riguarda il Dipartimento dell’Istruzione: in un report del 2018 si legge che chiunque potrebbe accedere alla sua rete informatica e restarvi collegato per novanta secondi, un tempo sufficiente a lanciare attacchi automatizzati verso i server. Nelle 99 pagine del report si cita anche il continuo uso di sistemi informatici privi di licenze valide da parte del Department of Homeland Security. Dei problemi ricorrenti, e mai risolti per cinque anni, del Dipartimento di Stato. Di quelli, perduranti da addirittura un decennio, del Dipartimento dell’Agricoltura. Ancor più preoccupanti sono le mancanze del Dipartimento di Sicurezza sociale, considerando che l’ente gestisce i numeri di previdenza sociale e i dati personali di 60 milioni di cittadini.

Malcostumi diffusi e problemi di burocrazia

Dalla revisione della Psi sono emersi poi malcostumi diffusi: in cinque agenzie su otto, per esempio, non viene mantenuto un accurato e completo inventario degli asset informatici. E non si tratta solo di sciatteria bensì di un comportamento rischioso, come è risultato evidente quando, giorni fa, la Nasa ha ammesso di aver subito un hackeraggio in seguito al collegamento senza autorizzazione di un Raspberry Pi alla sua rete. L’assenza di un inventario crea dei potenziali coni d’ombra su dispositivi che, se contenenti vulnerabilità, potrebbero fare da veicolo ad attacchi.  L’analisi della sottocommissione del Senato ha anche permesso di scoprire che ben sette agenzie su otto espongono i dati personali degli utenti al rischio di spionaggio, senza proteggerli adeguatamente con la crittografia o con altri metodi.

Chi ha la colpa di tutto questo? Troppo complesso e articolato lo scenario per dare una risposta univoca. Di certo la burocrazia ha qualche responsabilià: in molti casi i rischi derivano da hardware e software obsoleti, che negli anni non sono stati aggiornati o sostituiti. Tutte e otto le agenzie governative impiegano sistemi legacy e applicazioni non più supportati dai rispettivi vendor. Dunque, se anche il personale It o gli utenti volessero installare patch e aggiornamenti non potrebbero farlo.