Non ci sarà un nuovo caso Equifax, perché davanti a eventuali attacchi informatici – grandi o piccoli che siano – le aziende statunitensi saranno tenute alla trasparenza e non potranno più perdere tempo. Attraverso nuove linee guida pubblicate ieri, la Securities and Exchange Commission (Sec) ha finalmente adottato un'impostazione più severa nei confronti di chi abbia subito incidenti informatici, hackeraggi, attacchi DDoS o episodi di data breach: vittime, sì, ma anche responsabili di una corretta comunicazione nei confronti dei loro clienti, pubblico, cittadini. Davanti alla scoperta di un attacco o incidente che coinvolga dispositivi, applicazioni, reti, database, le aziende e gli enti pubblici dovranno essere più tempestive nel comunicare il fatto all'esterno.
Peccato solo che le nuove linee guida siano da intendersi quale “indicazione” e non obbligo,e peccato che il concetto di tempestività non sia stato quantificato, come invece fatto all'interno del Gdpr europeo. Il regolamento valido per le aziende Ue, in vigore dal 24 maggio 2016 e applicabile agli Stati membri dal 25 maggio prossimo, prevede infatti l'obbligo di disclosure entro 72 ore dalla scoperta e non manca di minacciare multe salate per chi non rispetti questa o altre prescrizioni.
Anche senza parametri espliciti, le nuove linee guida della Sec presumibilmente ispireranno comportamenti più corretti di quelli tenuti in passato da molte aziende, che si sono ben guardate dal rivelare gli attacchi subiti, nel tentativo di evitare danni di reputazione. Nel caso di Equifax, l'agenzia di credito numero uno negli Stati Uniti, il data breach su 145,5 milioni di schede contenenti informazioni personali è stato conseguenza di mancati aggiornamenti software e, dunque, di una vulnerabilità che avrebbe potuto essere facilmente risolta ma è invece rimasta latente per negligenza. Ad aggravare la brutta figura c'è stata, poi, la condotta di tre dirigenti, che avevano venduto parte delle proprie azioni Equifax (per un valore complessivo di oltre un milione e mezzo di dollari) prima che l'incidente venisse a galla pubblicamente.
Va detto che l'indagine per sospetto insider trading, affidata a una commissione interna, si è chiusa con la decisione di sposare la versione dei tre, cioè quella di aver venduto le azioni senza sapere dell'avvenuto attaco. Si fa tuttavia un po' fatica a credere nella buona fede quando, alla luce di un precedente data breach risalente a mesi prima, anche in quel caso uno dei tre – il chief financial officer John Gamble – aveva ugualmente provveduto a liberarsi di quasi due milioni di dollari di azioni.
Pur senza far riferimento esplicito a Equifax o ad altri episodi di data breach, come quello di Uber, il documento della Securities and Exchange Commission affronta non casualmente il tema della trasparenza, che significa comunicazione tempestiva ma anche assenza di speculazioni disoneste. Le precedenti guideline risalivano al 2011 e da allora il fenomeno cybercriminale è esploso sia dal punto di vista volumetrico, sia per varietà e gravità delle sue conseguenze. “Data la frequenza, la dimensione e i costi degli incidenti di cybersicurezza”, ha fatto sapere la Sec, “la Commissione ritiene critico che le aziende pubbliche intraprendano le azioni necessarie a informare gli investitori di rischi materiali e incidenti con tempestività”. Sono tenute al medesimo comportamento anche le organizzazioni non direttamente colpite, ma toccate indirettamente dal rischio di una fuoriuscita di dati.