Il Cyber Safety Board non ha mai indagato sulle cause della violazione dei dati di SolarWinds — ProPublica
Dopo che l'intelligence russa ha lanciato uno degli attacchi di spionaggio informatico più devastanti della storia contro agenzie governative statunitensi, l'amministrazione Biden ha istituito una nuova commissione con il compito di scoprire cosa fosse successo e di informare il pubblico.
Hacker statali si erano infiltrati in SolarWinds, un'azienda di software americana che fornisce servizi al governo degli Stati Uniti e a migliaia di aziende americane. Gli intrusi hanno utilizzato codice malevolo e una vulnerabilità in un prodotto Microsoft per rubare informazioni riservate alla National Nuclear Security Administration, ai National Institutes of Health e al Dipartimento del Tesoro, in quello che il presidente di Microsoft, Brad Smith, ha definito "l'attacco più grande e sofisticato che il mondo abbia mai visto".
Nel maggio 2021, il presidente ha emanato un ordine esecutivo che istituiva il Cyber Safety Review Board , ordinandogli di iniziare i lavori esaminando l'attacco a SolarWinds.
Ma per ragioni che, secondo gli esperti, restano poco chiare, ciò non è mai accaduto.
Il consiglio non ha inoltre richiesto ulteriori informazioni a SolarWinds per la redazione del suo secondo rapporto.
Per la terza volta, il consiglio ha esaminato un attacco separato avvenuto nel 2023, in cui hacker statali cinesi hanno sfruttato una serie di falle di sicurezza di Microsoft per accedere alle caselle di posta elettronica di alti funzionari federali.
Una ricostruzione completa e pubblica di quanto accaduto nel caso SolarWinds sarebbe stata devastante per Microsoft. ProPublica ha recentemente rivelato che Microsoft era a conoscenza da tempo di una falla sfruttata nell'attacco informatico, ma si era rifiutata di porvi rimedio. L'inerzia dell'azienda tecnologica rifletteva una cultura aziendale che privilegiava il profitto rispetto alla sicurezza, lasciando il governo statunitense vulnerabile, secondo quanto affermato da un informatore.
Il consiglio è stato creato per contribuire ad affrontare la grave minaccia che hacker sofisticati, i quali penetrano sistematicamente nei sistemi governativi e aziendali, sottraendo enormi quantità di informazioni sensibili, segreti aziendali o dati personali, rappresentano per l'economia e la sicurezza nazionale degli Stati Uniti.
Per decenni, la comunità della sicurezza informatica ha chiesto un equivalente informatico del National Transportation Safety Board (NTSB), l'agenzia indipendente tenuta per legge a indagare e pubblicare rapporti sulle cause e le lezioni apprese da ogni grave incidente aereo, tra gli altri eventi. L'NTSB è finanziato dal Congresso e composto da esperti che lavorano al di fuori del settore e di altre agenzie governative. Le sue audizioni pubbliche e i suoi rapporti stimolano il cambiamento nel settore e l'intervento di enti regolatori come la Federal Aviation Administration (FAA).
Finora, il Cyber Safety Review Board ha intrapreso una strada diversa.
Il consiglio non è indipendente: ha sede presso il Dipartimento per la Sicurezza Interna. Rob Silvers, il presidente del consiglio, è un sottosegretario alla Sicurezza Interna. Il vicepresidente è un alto dirigente della sicurezza di Google. Il consiglio non dispone di personale a tempo pieno, potere di citazione in giudizio o finanziamenti dedicati.
Silvers ha dichiarato a ProPublica che il Dipartimento per la Sicurezza Interna (DHS) ha deciso che il consiglio non aveva bisogno di condurre una propria indagine su SolarWinds, come richiesto dalla Casa Bianca, perché l'attacco era già stato "esaminato a fondo" dai settori pubblico e privato.
"Vogliamo che il consiglio si concentri sulle revisioni in cui c'è ancora molto da imparare, molte lezioni che possono essere ricavate attraverso l'indagine", ha affermato.
Di conseguenza, il governo non ha condotto alcuna indagine pubblica sul problema di sicurezza irrisolto di Microsoft, sfruttato dagli hacker russi. Nessuno dei report di SolarWinds ha identificato o intervistato l'informatore che ha denunciato i problemi interni a Microsoft.
Rifiutandosi di esaminare il caso SolarWinds, il consiglio di amministrazione non è riuscito a scoprire il ruolo centrale svolto dalla debole cultura della sicurezza di Microsoft nell'attacco e a promuovere cambiamenti che avrebbero potuto mitigare o prevenire l'attacco informatico cinese del 2023, hanno dichiarato a ProPublica esperti di sicurezza informatica e funzionari eletti.
"È possibile che l'attacco informatico più recente avrebbe potuto essere evitato con una supervisione adeguata", ha dichiarato in un comunicato il senatore Ron Wyden, membro democratico della Commissione ristretta del Senato sull'intelligence. Wyden ha chiesto al consiglio di amministrazione di esaminare SolarWinds e al governo di migliorare le proprie difese in materia di sicurezza informatica.
In una dichiarazione, un portavoce del DHS ha respinto l'idea che una revisione di SolarWinds avrebbe potuto rivelare in tempo le mancanze di Microsoft per fermare o mitigare l'attacco informatico orchestrato dallo stato cinese la scorsa estate. "I due incidenti erano piuttosto diversi sotto questo aspetto e non crediamo che una revisione di SolarWinds avrebbe necessariamente portato alla luce le lacune individuate nell'ultimo rapporto del Consiglio", ha affermato.
Gli altri membri del consiglio si sono rifiutati di commentare, hanno rimandato le richieste al DHS o non hanno risposto a ProPublica.
In precedenti dichiarazioni, Microsoft non aveva contestato la versione del whistleblower, ma aveva sottolineato il proprio impegno per la sicurezza. "Proteggere i clienti è sempre la nostra massima priorità", aveva dichiarato in precedenza un portavoce a ProPublica . "Il nostro team di risposta alla sicurezza prende sul serio tutti i problemi di sicurezza e analizza ogni caso con la dovuta diligenza, effettuando una valutazione manuale approfondita e confrontandosi con i partner di ingegneria e sicurezza."
Il fatto che il consiglio non abbia avviato un'indagine su SolarWinds mette inoltre in luce un interrogativo sollevato dai critici, tra cui Wyden, fin dalla sua istituzione: se un consiglio composto in maggioranza da funzionari federali possa ritenere le agenzie governative responsabili per il loro ruolo nel non aver impedito gli attacchi informatici.
"Rimango profondamente preoccupato dal fatto che una delle ragioni principali per cui il Consiglio non ha mai esaminato il caso SolarWinds, come invece richiesto dal Presidente, sia stata la necessità di esaminare e documentare una grave negligenza da parte del governo statunitense", ha affermato Wyden. Tra le sue preoccupazioni vi è il sistema di difesa informatica governativo che non è riuscito a rilevare l'attacco a SolarWinds.
Silvers ha affermato che, sebbene il consiglio non abbia indagato su SolarWinds, ha ricevuto l'approvazione dell'Ufficio di Responsabilità del Governo (GAO), un organismo indipendente, il quale, in uno studio di aprile sull'attuazione del decreto esecutivo, ha dichiarato che il consiglio aveva adempiuto al proprio mandato di condurre la revisione.
La decisione del GAO ha lasciato perplessi gli esperti di sicurezza informatica. "Rob Silvers ha dichiarato per lungo tempo, quasi per decreto, che il CSRB ha fatto il suo dovere nei confronti di SolarWinds, ma il semplice fatto di dichiarare qualcosa non la rende vera", ha affermato Tarah Wheeler, CEO di Red Queen Dynamics, un'azienda di sicurezza informatica, coautrice di un rapporto della Harvard Kennedy School che delinea il funzionamento di un "NTSB per la sicurezza informatica" .
Silvers ha affermato che il primo e il secondo rapporto del consiglio, pur non indagando su SolarWinds, hanno portato a importanti cambiamenti a livello governativo, come le nuove norme della Commissione federale per le comunicazioni (FCC) relative ai telefoni cellulari.
"I risultati concreti del lavoro svolto finora dal consiglio parlano da soli e confermano la validità delle scelte effettuate in merito alle questioni esaminate", ha affermato.
“Abbiamo rispettato pienamente l’ordinanza esecutiva”
L'attacco a SolarWinds è stato un campanello d'allarme per il governo federale e il settore privato. L'ordine esecutivo della Casa Bianca è stato concepito per consentire ai funzionari di agire rapidamente e implementare nuove pratiche di sicurezza informatica.
Ma l'ordine esecutivo limitava le azioni del nuovo consiglio per la sicurezza informatica: il presidente non può stanziare fondi dal Congresso né concedere poteri di citazione in giudizio.
Quando il consiglio è stato lanciato all'inizio del 2022, aveva ben poco in comune con il consiglio informatico che Wheeler e i suoi coautori avevano delineato nel loro rapporto di Harvard.
"Nessuna delle nostre raccomandazioni è stata accolta", ha affermato.
Il comitato, che ha sede presso la Cybersecurity and Infrastructure Security Agency del Dipartimento per la Sicurezza Interna (DHS), è composto da 15 volontari non retribuiti : otto provenienti da agenzie governative e sette dal settore privato. Silvers ha affermato che ciò garantisce al comitato conoscenze all'avanguardia e la capacità di dare seguito alle proprie raccomandazioni.
Sebbene il mandato iniziale del comitato fosse quello di indagare su SolarWinds, il Segretario alla Sicurezza Interna Alejandro Mayorkas e la Direttrice della CISA Jen Easterly hanno invece incaricato il comitato di esaminare una vulnerabilità recentemente scoperta in Log4j, un software utilizzato da milioni di computer, che potrebbe consentire agli aggressori di violare sistemi in tutto il mondo, compresi alcuni utilizzati dal governo degli Stati Uniti.
Silvers ha affermato che si trattava di "un caso d'uso perfetto" per la prima revisione del consiglio e che la Casa Bianca era d'accordo.
Il rapporto Log4j del consiglio , pubblicato nel luglio 2022, ha rilevato che non si sono verificati attacchi significativi ai sistemi infrastrutturali critici a causa di questa vulnerabilità. Il rapporto ha offerto 19 raccomandazioni per aziende, enti governativi e sviluppatori di software open source.
Silvers ha continuato a dover rispondere a domande sulla decisione di non indagare su SolarWinds, ma ha ribadito che Log4j era l'argomento più urgente da esaminare.
"Abbiamo rispettato pienamente l'ordine esecutivo", ha dichiarato Silvers ai media durante una telefonata quello stesso mese.
Inizialmente, un organismo di controllo governativo non era d'accordo.
Quando il GAO ha condotto la sua revisione dell'attuazione dell'ordine esecutivo, ha riscontrato che il consiglio non aveva adempiuto al proprio mandato. Nella sua bozza di rapporto, ha raccomandato al Dipartimento per la Sicurezza Interna di incaricare il consiglio di esaminare SolarWinds, come richiesto dal presidente.
Ciò non è piaciuto al DHS, a cui era stata data la possibilità di esaminare e commentare la bozza nell'ambito della procedura standard del GAO. Il DHS ha sostenuto in una lettera che l'"intento" di una revisione del consiglio di amministrazione su SolarWinds era stato soddisfatto dai riferimenti all'attacco informatico contenuti nel rapporto Log4j del consiglio e dalle precedenti ricerche su SolarWinds condotte dall'agenzia del DHS che amministra il consiglio.
Il Dipartimento per la Sicurezza Interna ha inoltre osservato che l'ordine esecutivo aveva fissato un termine di 90 giorni per il completamento della revisione di SolarWinds da parte del consiglio, un termine che ha definito "irrealizzabile". Ordinare al consiglio di svolgere tale revisione ora, ha sostenuto, significherebbe "duplicare il lavoro già svolto e utilizzare le risorse in modo imprudente".
"Chiediamo che il GAO consideri questa raccomandazione risolta e chiusa, in quanto attuata", si legge nella lettera.
Il GAO ha concordato. Il suo studio finale ha affermato che il mandato per una revisione del consiglio di amministrazione di SolarWinds era stato "pienamente attuato". Il GAO ha accettato due rapporti governativi al posto di uno del consiglio di amministrazione: la revisione di Log4j e una revisione del 2021 di SolarWinds da parte del Consiglio di sicurezza nazionale, che non è pubblica.
Un collaboratore di Wyden ha affermato che il senatore non aveva visionato il rapporto del Consiglio di Sicurezza Nazionale (NSC). Nemmeno il GAO (Government Accountability Office) lo aveva visto. Il GAO ha invece dichiarato a ProPublica di aver "intervistato i principali collaboratori" del rapporto del Consiglio di Sicurezza. L'ufficio ha anche riassunto tre raccomandazioni che l'NSC ha ritenuto idonee alla pubblicazione, tra cui un invito a una migliore condivisione delle informazioni tra le agenzie federali. Un portavoce del Consiglio di Sicurezza ha rifiutato di commentare.
Il GAO ha dichiarato di aver accettato la revisione di Log4j da parte del consiglio perché includeva "informazioni relative all'incidente di SolarWinds". Tuttavia, a parte le note a piè di pagina, il rapporto menziona SolarWinds una sola volta.
Un rapporto del consiglio sarebbe stato più utile alla comunità della sicurezza informatica perché avrebbe offerto un resoconto dettagliato e pubblico di un attacco di grande portata, ha affermato Steven Bellovin, professore di informatica alla Columbia University, autore di articoli e presentazioni sulla necessità di un consiglio indipendente per la sicurezza informatica . "Un rapporto segreto non raggiunge questo obiettivo", ha aggiunto.
Trey Herr, professore associato di politica estera e sicurezza globale presso l'American University e coautore di rapporti sul CSRB e SolarWinds , ha criticato anch'egli la decisione del GAO. "Non capisco perché il GAO abbia suggerito che una revisione privata del Consiglio di Sicurezza Nazionale e un diverso documento di lavoro del CSRB siano equivalenti, viste le loro autorità, la portata, il funzionamento e le aspettative di trasparenza profondamente diverse", ha affermato.
Interpellata sul perché avesse attribuito al Dipartimento per la Sicurezza Interna il merito di aver completato una revisione che non ha mai avuto luogo, Marisol Cruz-Cain, direttrice del team di tecnologia dell'informazione e sicurezza informatica del GAO, ha dichiarato in un comunicato che l'ufficio "conferma le affermazioni e le valutazioni".
"Il GAO ritiene che il governo abbia adottato misure sufficienti per esaminare l'incidente di SolarWinds", ha affermato, anche attraverso la collaborazione con diverse agenzie federali e il settore privato e "diffondendo le linee guida pertinenti su SolarWinds".
Il GAO ha condotto anche un proprio studio su SolarWinds , pubblicato nel 2022. Come le altre indagini governative, non ha esaminato il ruolo di Microsoft nell'attacco. Un portavoce ha dichiarato che il GAO si è concentrato sull'impatto dell'attacco informatico sul governo federale, pertanto "non abbiamo interagito con Microsoft".
“Questa intrusione non sarebbe mai dovuta accadere”
Dopo l'attacco informatico del 2023, guidato dalla Cina, che sfruttò le vulnerabilità di Microsoft per infiltrarsi nei sistemi statunitensi, il consiglio di amministrazione ha esaminato attentamente il ruolo del colosso tecnologico nell'attacco.
Il rapporto è stato durissimo. "Il Consiglio conclude che questa intrusione non sarebbe mai dovuta accadere", si legge nel rapporto, che cita una "cascata di falle nella sicurezza di Microsoft". Il Consiglio ha chiesto una revisione della cultura della sicurezza "inadeguata" di Microsoft e ha elencato sette aree in cui l'azienda non è riuscita ad applicare pratiche di sicurezza adeguate o a rilevare o affrontare falle o rischi.
Microsoft ha annunciato una serie di cambiamenti e ha dichiarato che implementerà tutte le raccomandazioni del consiglio.
Il rapporto ha innescato un'audizione presso la Commissione per la Sicurezza Interna della Camera dei Rappresentanti con il presidente di Microsoft, Smith, il mese scorso. Smith ha affermato che la sicurezza è la massima priorità dell'azienda.
Ha inoltre sollevato preoccupazioni in merito ai conflitti di interesse del consiglio. Mentre Wyden e altri esperti hanno criticato il ruolo dei funzionari federali, Smith si è lamentato della presenza nel consiglio di membri del settore privato, tra cui dirigenti di Google e di altre aziende concorrenti di Microsoft. "Credo sia un errore nominare nel consiglio i concorrenti di un'azienda oggetto di indagine", ha affermato. Smith ha avvertito che altre aziende potrebbero non essere altrettanto collaborative con il consiglio quanto, a suo dire, lo è stata Microsoft.
Tre membri del consiglio provenienti dal settore privato, tra cui la vicepresidente Heather Adkins, dirigente di Google, si sono astenuti dal redigere il rapporto su Microsoft, così come due membri dell'Office of the National Cyber Director e uno dell'FBI, che sono stati sostituiti da un collega di ciascuna agenzia.
Un portavoce del DHS si è rifiutato di spiegare i motivi dell'astensione dei membri del settore pubblico, ma ha affermato che i membri del consiglio sono tenuti a astenersi se una revisione include "l'esame dei prodotti del proprio datore di lavoro o di quelli della concorrenza" o se un membro del consiglio ha "interessi finanziari relativi alle questioni in esame".
Silvers ha affermato che ogni membro del consiglio, compresi quelli provenienti dal settore pubblico, viene sottoposto a una rigorosa verifica dei conflitti di interesse. Ha aggiunto che il modello attuale si è dimostrato efficace ed è meno costoso rispetto alla creazione di un ente indipendente.
"Creare un'agenzia completamente nuova con un organico di professionisti sarebbe estremamente costoso, richiederebbe molti anni e potrebbe cannibalizzare le scarse risorse di talenti nel settore della sicurezza informatica di cui disponiamo già all'interno del governo statunitense", ha affermato. "In un'epoca di budget limitati, austerità e competizione per i talenti, questo è davvero un modello eccellente."
Tuttavia, il DHS riconosce che la commissione necessita di maggiori risorse e di un maggiore potere investigativo. L'anno scorso, il dipartimento ha presentato una proposta di legge per rendere la commissione permanente , con finanziamenti dedicati, poteri di citazione limitati e uno staff a tempo pieno.
Silvers ha affermato che il disegno di legge gode del sostegno dell'amministrazione Biden, ma non è stato ancora presentato e non ha un proponente.
Wheeler, dirigente nel settore della sicurezza informatica, ha affermato di essere consapevole di quanto difficili sarebbero le riforme, ma che lei e altri continueranno a battersi affinché il consiglio diventi un'agenzia governativa indipendente.
«Sono sinceramente sorpresa che siano riusciti a completare [il pannello]», ha detto. «Ora voglio che lo migliorino».
Hai qualche suggerimento per ProPublica? Aiutaci a fare giornalismo.
Hai una storia da raccontarci? Ti piacerebbe essere una fonte di informazioni per un articolo sulla tua comunità, le tue scuole o il tuo luogo di lavoro? Contattaci.
