“A che punto il profitto ha la meglio sulla sicurezza?” L'ex direttore nazionale per la sicurezza informatica sollecita la regolamentazione del software a seguito di attacchi informatici di alto profilo — ProPublica
Nel 2019, degli hacker hanno lanciato uno dei più grandi attacchi informatici nella storia degli Stati Uniti , infiltrandosi in diverse agenzie governative e in numerose aziende del settore privato. La Casa Bianca ha in seguito attribuito l'attacco, noto come attacco a SolarWinds, al Servizio di intelligence estera russo. Ma mentre i funzionari statunitensi si affannavano a rispondere a questo spionaggio, si sono resi conto che mancavano informazioni chiave: i file di registro, ovvero le registrazioni digitali dell'attività sui computer degli utenti.
La funzionalità, che consente agli utenti di rilevare e analizzare attività sospette nelle proprie reti, è inclusa nei piani Microsoft 365 di fascia alta, ma non nella versione base utilizzata all'epoca da alcune agenzie governative. Altre agenzie non conservavano dati di registro sufficienti per un periodo di tempo abbastanza lungo. Se la registrazione dei log fosse stata implementata più ampiamente, avrebbe potuto allertare i funzionari sull'intrusione prima e consentire loro di indagare meglio una volta scoperta.
In questo contesto, il presidente Biden ha nominato Chris Inglis come primo Direttore Nazionale per la Sicurezza Informatica del Paese. Inglis, ex funzionario della National Security Agency (NSA) che ha iniziato la sua carriera come informatico, avrebbe poi supervisionato lo sviluppo della Strategia Nazionale per la Sicurezza Informatica dell'amministrazione. E mentre lui e il suo team alla Casa Bianca redigevano quel documento, continuava a tornare sull'attacco informatico a SolarWinds. Conosciuto come attacco alla catena di fornitura, questa violazione di vasta portata è iniziata con un software compromesso utilizzato da molti clienti di alto profilo. "Tutti lungo quella catena di fornitura davano per scontato che la sicurezza fosse integrata in fabbrica e mantenuta lungo tutta la catena di fornitura", ha affermato Inglis a proposito dell'attacco a SolarWinds. "Ora sappiamo che non era così".
La questione è riemersa questo mese, quando alcune vittime di un attacco informatico collegato alla Cina non sono riuscite a rilevare l'intrusione perché in possesso di licenze Microsoft di base anziché di quelle premium che includono la registrazione degli eventi. Gli hacker avevano sfruttato una falla nel servizio di cloud computing di Microsoft per penetrare nei sistemi di circa una ventina di organizzazioni in tutto il mondo, tra cui il Dipartimento di Stato americano.
Secondo Inglis, questo tipo di incidenti riflette una tendenza più ampia: gli utenti di computer si trovano a dover sopportare una quota sproporzionatamente elevata dell'onere di difendersi dagli attacchi informatici. In risposta, la nuova strategia propone di trasferire una parte maggiore di questo onere ai produttori di software stessi. Infatti, in seguito al più recente attacco informatico da parte di hacker cinesi, la scorsa settimana i funzionari dell'amministrazione Biden hanno chiesto a Microsoft di rendere standard per tutti gli utenti funzionalità di sicurezza come la registrazione degli eventi.
Microsoft ha dichiarato di essere in contatto con l'amministrazione sulla questione. "Stiamo valutando i feedback ricevuti e siamo aperti ad altri modelli", ha affermato un portavoce dell'azienda in una dichiarazione.
Sebbene la strategia di Biden, annunciata a marzo, non sia vincolante, rappresenta un cambiamento significativo nell'approccio del governo. Tra le sue proposte: promuovere una legislazione che renda le aziende tecnologiche responsabili per la perdita di dati e i danni causati da prodotti non sicuri. Inglis, che si è dimesso dal suo ruolo di direttore all'inizio di quest'anno, ha recentemente parlato con ProPublica del documento strategico nazionale e dell'impegno dell'amministrazione per spingere i fornitori di tecnologia a fare di più per proteggere gli utenti dagli attacchi informatici. La conversazione è stata modificata per brevità e chiarezza.
L'amministrazione Biden sta parlando di regolamentare la sicurezza informatica. Come si tradurrebbe in pratica?
Se si guarda alla regolamentazione del cyberspazio al momento, si nota che è perlopiù focalizzata sugli operatori. Non si concentra su chi sviluppa il cloud o i principali software. I governi devono consultarsi con il settore privato per capire cosa sia critico in questi sistemi. Possiamo utilizzare le autorità di regolamentazione già esistenti, come il Dipartimento del Commercio, la FCC o il Dipartimento del Tesoro. Quando qualcosa è di vitale importanza per la sicurezza, si arriva al punto in cui è necessario specificare quali elementi non sono discrezionali. Lo abbiamo fatto con i farmaci e le terapie. Lo abbiamo fatto con i sistemi di trasporto. Dobbiamo fare lo stesso nel cyberspazio.
Mi viene in mente un libro che sicuramente conoscete, "L'uovo del cuculo", il racconto di Cliff Stoll sulla vasta intrusione nei sistemi informatici del governo e dell'esercito statunitensi negli anni '80. Alla fine, le indagini portarono a degli hacker della Germania Ovest pagati dai servizi segreti sovietici, il KGB. Queste problematiche non sono certo nuove. Perché la regolamentazione non è mai stata menzionata prima in questo dibattito?
Beh, credo che la questione sia già stata sollevata, ma due cose l'hanno impedito. Innanzitutto, abbiamo sempre pensato che la sicurezza fosse qualcosa di cui si sarebbero occupati i tecnologi, gli innovatori. Hanno sempre avuto l'idea di occuparsene quando ne avrebbero avuto il tempo. Ma sono sempre proiettati verso la prossima innovazione. Quindi non ne hanno mai avuto il tempo. Non torniamo mai indietro per implementare qualcosa che non c'era all'inizio.
In secondo luogo, temevamo che un'eccessiva regolamentazione potesse soffocare l'innovazione e privarci di tutti i vantaggi offerti dalla tecnologia. Dobbiamo ancora rifletterci. Ma si è scoperto che l'innovazione non è un pasto gratis. Non citerò fonti specifiche, ma se sei un bravo imprenditore, cercherai di evitare qualsiasi costo superfluo. E quindi metterai sempre in evidenza gli svantaggi della regolamentazione.
In questa discussione avete accennato alla necessità di rendere i prodotti sicuri fin dalla progettazione, un concetto, che è anche al centro del documento strategico nazionale, secondo cui la sicurezza dovrebbe essere integrata nei prodotti digitali. Quali sono alcuni esempi?
È piuttosto semplice: i sistemi software o hardware soddisfano i requisiti di sicurezza in condizioni ragionevolmente prevedibili? Lo abbiamo fatto con le automobili. Abbiamo airbag, cinture di sicurezza, freni antibloccaggio. Quindi, quali sono le funzionalità di sicurezza informatica di base che dovrebbero essere presenti fin dall'inizio? Autenticazione a più fattori o un equivalente ragionevole. Un certo grado di segmentazione in modo che, se qualcosa riesce a penetrare nel sistema, non si diffonda rapidamente. Un modo semplice per correggere le vulnerabilità. La magia sta nel fatto che il fornitore si assuma effettivamente questa responsabilità. Invece di dire: "Che il compratore stia attento. Vi vendo la versione base. Ma se volete funzionalità di sicurezza aggiuntive, vi vendo un pacchetto a parte". Questo è assurdo.
Ricorda molto l'intera controversia sulle licenze Microsoft successiva all'attacco a SolarWinds, in cui il governo non disponeva di un sistema di registrazione degli eventi, una funzionalità di sicurezza fondamentale.
Esatto. Ora, se vi trovate in una situazione di sicurezza straordinaria – ad esempio, operate nel dark web o fate affari in luoghi dove l'autorità giurisdizionale delle forze di polizia locali o del corpo diplomatico è molto limitata – allora dovreste aspettarvi di pagare di più. Ma se siete un normale consumatore, la sicurezza dovrebbe essere inclusa, come di consueto.
Mi chiedo come si evolverà la situazione, considerando quello che sembra essere l'orientamento aziendale storico. Quando il presidente di Microsoft, Brad Smith, testimoniò davanti al Congresso all'inizio del 2021, l'allora deputato Jim Langevin del Rhode Island lo interrogò sulla questione dell'addebito di un costo aggiuntivo per la registrazione dei dati. Smith rispose: "Siamo un'azienda a scopo di lucro. Tutto ciò che facciamo è progettato per generare un profitto".
Lo stesso vale per Ford Motor Co. e per Tesla. La questione è piuttosto semplice: a che punto il profitto prevale sulla sicurezza? La risposta è che esiste un ragionevole equilibrio tra i due. Non si può avere tutto e niente dell'altro. Le aziende devono essere in grado di sostenersi; il profitto deve essere un requisito imprescindibile. Ma non possono implementare tecnologie che sanno essere dannose per il benessere, la salute e la sicurezza dei loro clienti. Semplicemente, non è così che funziona la nostra società. Credo che le aziende che immettono sul mercato prodotti con effetti negativi sui propri clienti si troveranno costrette a migliorare la sicurezza, per una questione di consapevolezza o per le forze di mercato, oppure dovrebbero aspettarsi di esserne obbligate.
Dovremmo essere a favore delle imprese. Ma anteporre gli interessi delle imprese a quelli dei clienti che servono è essenzialmente una spirale autodistruttiva. È una corsa al ribasso. E quindi questo è un altro momento in cui è necessario allineare gli interessi delle imprese con gli interessi dei consumatori che serviranno.
