Logo ImpresaCity.it

Sicurezza IT: cosa ha dimostrato il caso Equifax

La sottrazione dei dati di 143 milioni di clienti Equifax mostra cosa non andrebbe fatto in quanto a sicurezza informatica. E cosa va considerato.

Autore: Redazione ImpresacityCity

In quanto a sicurezza IT d'impresa vale più un caso pratico di tante trattazioni teoriche. E in questi giorni nella mente di molti CEO e CIO ci sarà, o quantomeno ci dovrebbe essere, il caso Equifax: l'esempio perfetto di come sia sbagliato sottovalutare i punti critici che gli esperti di settore sottolineano in continuazione. Dalla vicenda dell'azienda statunitense si possono trarre diverse morali, tutte purtroppo già note.

Ma prima un passo indietro: cosa è successo. Equifax è la più antica società statunitense di credit reporting e fornisce, in sintesi, una valutazione della "solvibilità" di centinaia di milioni di persone e aziende. Per far questo raccoglie ovviamente molte informazioni su di loro, circa una settimana fa una parte di queste informazioni è stata sottratta da hacker ostili. L'incidente coinvolge circa 143 milioni di utenti Equifax, non solo americani, di cui sono stati rubati nomi, indirizzi, date di nascita e - in alcuni casi - anche numeri di carte di credito.

Questi i fatti. Tra le conclusioni da trarre la prima è l'importanza di avere procedure di patching ben definite e la possibilità di verificarne il buon funzionamento. La rete Equifax è stata violata sfruttando una vulnerabilità di una applicazione web del suo sito USA, o meglio del framework Apache Struts su cui era basata. Questa vulnerabilità era stata risolta all'inizio dello scorso marzo ma evidentemente la patch non era stata applicata adeguatamente in Equifax, dato che l'attacco alla sua rete è avvenuto tra maggio e luglio di quest'anno.

sicurezza-token.jpg
Secondo punto: la gestione della sicurezza IT non può avere come punti vulnerabili gli stessi top manager. Dopo la violazione della rete alcune delle informazioni rubate sono state subito messe in circolazione nel web "underground". Da queste si è scoperto che in Equifax il Chief Privacy Officer, il CIO e i Vice President delle relazioni pubbliche e delle vendite usavano password non sicure (tutte in minuscolo, senza simboli e usando nomi di città e combinazioni delle iniziali e della data di nascita). Al di là del giudizio sui singoli, è segno che l'azienda comunque non aveva - o non osservava adeguatamente - procedure per imporre password sicure.

Il comportamento di Equifax dimostra poi come le norme che impongono di comunicare formalmente, il prima possibile e secondo procedure ben precise la sottrazione di informazioni non sono vessatorie. Si è scoperto che nel periodo tra la scoperta della falla e la sua comunicazione al pubblico alcuni top manager hanno venduto parte delle loro azioni della società. Questo darà certamente il via a indagini mirate: la posizione di Equifax è che non c'è un legame tra i fatti, ma c'è chi invece ritiene che i manager abbiano voluto disfarsi delle azioni prima che perdessero valore.

Cosa che infatti è accaduta e ai CEO infine il caso Equifax prova, casomai fosse ancora necessario, che la sicurezza IT non è una questione solo da tecnici ma per tutto il management. La quotazione delle azioni dell'azienda è crollata di un terzo dalla comunicazione dell'incidente, alcuni manager hanno già dovuto lasciare il loro posto e il danno di immagine è ancora tutto da valutare. E per un'azienda il cui business è stimare l'affidabilità di persone e aziende, la perdita di credibilità sarà un colpo anche per il business.
Pubblicato il: 18/09/2017

Tag:

Cosa pensi di questa notizia?

Speciali

speciali

F-Secure: Download PDF

speciali

HPE - Le tecnologie, le soluzioni