In quanto a sicurezza IT d'impresa vale più un caso pratico di tante trattazioni teoriche. E in questi giorni nella mente di molti CEO e CIO ci sarà, o quantomeno ci dovrebbe essere, il
caso Equifax: l'esempio perfetto di come sia sbagliato sottovalutare i punti critici che gli esperti di settore sottolineano in continuazione. Dalla vicenda dell'azienda statunitense si possono trarre
diverse morali, tutte purtroppo già note.
Ma prima un passo indietro:
cosa è successo. Equifax è la più antica società statunitense di credit reporting e fornisce, in sintesi, una valutazione della "solvibilità" di centinaia di milioni di persone e aziende. Per far questo raccoglie ovviamente molte informazioni su di loro, circa una settimana fa una parte di queste informazioni
è stata sottratta da hacker ostili. L'incidente coinvolge circa
143 milioni di utenti Equifax, non solo americani, di cui sono stati rubati nomi, indirizzi, date di nascita e - in alcuni casi - anche numeri di carte di credito.
Questi i fatti. Tra le conclusioni da trarre la prima è l'importanza di avere
procedure di patching ben definite e la possibilità di verificarne il buon funzionamento. La rete Equifax è stata violata sfruttando una vulnerabilità di una applicazione web del suo sito USA, o meglio del framework Apache Struts su cui era basata. Questa vulnerabilità era stata risolta all'inizio dello
scorso marzo ma evidentemente la patch non era stata applicata adeguatamente in Equifax, dato che l'attacco alla sua rete è avvenuto
tra maggio e luglio di quest'anno.
Secondo punto: la gestione della sicurezza IT non può avere come
punti vulnerabili gli stessi top manager. Dopo la violazione della rete alcune delle informazioni rubate sono state subito messe in circolazione nel web "underground". Da queste
si è scoperto che in Equifax il Chief Privacy Officer, il CIO e i Vice President delle relazioni pubbliche e delle vendite
usavano password non sicure (tutte in minuscolo, senza simboli e usando nomi di città e combinazioni delle iniziali e della data di nascita). Al di là del giudizio sui singoli, è segno che l'azienda comunque non aveva - o non osservava adeguatamente - procedure per
imporre password sicure.
Il comportamento di Equifax dimostra poi come le norme che impongono di
comunicare formalmente, il prima possibile e secondo procedure ben precise la sottrazione di informazioni
non sono vessatorie. Si è scoperto che nel periodo tra la scoperta della falla e la sua comunicazione al pubblico alcuni top manager
hanno venduto parte delle loro azioni della società. Questo darà certamente il via a indagini mirate: la posizione di Equifax è che non c'è un legame tra i fatti, ma c'è chi invece ritiene che i manager abbiano voluto disfarsi delle azioni prima che perdessero valore.
Cosa che infatti è accaduta e ai CEO infine il caso Equifax prova, casomai fosse ancora necessario, che la sicurezza IT
non è una questione solo da tecnici ma per tutto il management. La quotazione delle azioni dell'azienda è
crollata di un terzo dalla comunicazione dell'incidente, alcuni manager hanno già dovuto lasciare il loro posto e il danno di immagine è ancora tutto da valutare. E per un'azienda il cui business è stimare l'affidabilità di persone e aziende, la perdita di credibilità sarà un colpo anche per il business.