La condanna dell’ex capo della sicurezza di Uber Technologies Inc. 5 ha sollevato lo spettro che un’accusa penale di alto profilo e le norme federali recentemente ampliate potrebbero costringere le aziende a essere più trasparenti quando si tratta di segnalare violazioni della sicurezza informatica. Ma questo nuovo percorso si scontra con un’ostinata storia di segretezza, secondo i dati del settore e le interviste con esperti di sicurezza.
La mancanza di trasparenza aziendale sull’hacking si manifesta in diversi modi, dalle aziende che rilasciano dichiarazioni pubbliche minime, spesso vaghe, all’assunzione di investigatori della sicurezza informatica attraverso studi legali, che possono attribuire il privilegio di avvocato-cliente. Le aziende potrebbero anche non voler rivelare le violazioni perché potrebbero danneggiare la loro reputazione.
L’ex capo della sicurezza di Uber è stato condannato per insabbiamento per violazione dei dati
Tale opacità arriva mentre il settore privato continua a far fronte a un assalto di intrusioni, in particolare da parte di hacker ransomware, che possono paralizzare ospedali, chiudere college e chiudere i principali gasdotti.
“Il verdetto non ha risolto il problema più ampio di un mosaico di leggi di notifica, che non sono sempre del tutto chiare sui casi di ransomware su ciò che deve essere segnalato e da chi”, ha affermato Josephine Wolff, professore associato di politica di sicurezza informatica presso la Tufts University. “Probabilmente renderà le aziende un po’ più caute e over-report. Ma c’è abbastanza ambiguità in queste leggi che le aziende sentono di avere spazio di manovra”.
L’ex capo della sicurezza di Uber Joe Sullivan è stato dichiarato colpevole dalla corte federale di San Francisco a causa di un attacco hacker del 2016, di cui ha cercato di nascondere i dettagli. Ma gli esperti hanno detto a Bloomberg che il caso potrebbe essere un’eccezione, non la regola, quando si tratta del governo che spinge per una maggiore divulgazione. In effetti, il Dipartimento di Giustizia non ha accusato Sullivan di aver violato le norme sulla divulgazione, ma di ostruzione alla giustizia e di occultamento di un crimine durante un’indagine della Federal Trade Commission.
Tuttavia, la condanna arriva in un momento in cui legislatori e regolatori stanno spingendo per una maggiore responsabilità sugli hack. A marzo, il presidente Joe Biden ha firmato un’ampia legislazione sulla sicurezza informatica che impone ad alcuni settori di segnalare violazioni al Dipartimento per la sicurezza interna degli Stati Uniti entro 72 ore dalla scoperta dell’incidente e 24 ore se effettuano un pagamento di ransomware. Molti stati ora richiedono alle aziende di segnalare le violazioni e la Securities and Exchange Commission degli Stati Uniti ha proposto nuove leggi sulla segnalazione informatica.
Per anni, le aziende si sono rivolte ad avvocati esterni per gestire tali incidenti, una pratica che è cresciuta. Nel 2018, più di 4.000 aziende si sono affidate a consulenti legali per aiutare con le loro risposte informatiche; entro il 2021, quel numero è raddoppiato, secondo i dati delle aziende intervistate dalla compagnia di assicurazioni Advisen Ltd. e analizzato da Bloomberg News. La società di sicurezza informatica Crowdstrike Holdings Inc. ha detto a Bloomberg che il 42% dei suoi impegni dell’anno scorso era riservato a consulenti esterni.
Anche quando le aziende decidono di divulgare, può essere così generico da non essere utile agli investitori o al pubblico. “Temo che questi giudizi abbiano troppo spesso commesso un errore sul lato della non divulgazione, lasciando gli investitori all’oscuro e mettendo a rischio le aziende”, ha affermato l’ex commissario della SEC Robert J. Jackson Jr. nel 2018.
Dopo che una società è stata violata, gli studi legali esterni spesso coinvolgono una società di sicurezza informatica per quella che è nota come risposta agli incidenti o IR. Ma ora, con gli attori ransomware – che probabilmente non vedranno mai l’interno di un’aula di tribunale statunitense – il privilegio avvocato-cliente potrebbe essere abusato e mal riposto, secondo gli esperti che studiano le politiche di sicurezza informatica.
“Il consulente esterno va oltre la semplice consulenza legale”, ha scritto Daniel Woods, un ricercatore che ha anche pubblicato su questo argomento con Wolff. Gli avvocati controllano chi viene assunto per rispondere alla violazione e “dare priorità alla protezione del privilegio cliente-avvocato rispetto ad altre preoccupazioni”.
Michael Risch, vice preside della facoltà di giurisprudenza dell’Università di Villanova, ha affermato che il coinvolgimento di avvocati ha lo scopo di proteggere un’azienda e può effettivamente guidare le aziende a seguire le normative più da vicino che se non avessero consultato un avvocato. L’antidoto alla segretezza, ha detto, “è fare leggi che richiedano alle aziende di rivelare di più. E poi gli avvocati direbbero: ‘Devi rivelare'”.
Al di là delle macchinazioni legali, le aziende sono spesso a bocca chiusa quando si verificano violazioni. Le frasi “incidente di sicurezza informatica” e “incidente informatico” – una frase abbreviata comune spesso accompagnata da pochi dettagli – sono apparse in più di 1.000 articoli di giornali e telecronache negli ultimi cinque anni, secondo i ritagli archiviati da LexisNexis.
Tale segretezza può essere particolarmente prevalente nelle parti critiche del settore privato a seguito di gravi violazioni, inclusi gli ospedali. Alcune aziende alla fine forniscono dettagli, ma altre solo mesi dopo, lasciando i pazienti preoccupati se i problemi IT possano influire sulle loro cure mediche.
Tenet Healthcare Corp., ad esempio, ha pubblicato un breve comunicato stampa di quattro paragrafi su un “incidente di sicurezza informatica” ad aprile. Un portavoce ha rifiutato di parlare con un giornalista di Bloomberg in quel momento, dicendo: “Non abbiamo commenti oltre al rilascio”. Tre mesi dopo, la società ha offerto maggiori dettagli in un deposito della SEC, ammettendo che la violazione è costata a Tenet $ 100 milioni al lordo delle tasse.
Un portavoce di Tenet non ha risposto a una recente richiesta di commento.
I funzionari dell’FBI lo scorso anno hanno stimato che l’ufficio ha visibilità solo su un quarto degli incidenti informatici, con conseguente mancanza di informazioni da parte del governo sulla natura di molte violazioni dei dati, sulle tattiche dei criminali informatici e sulle industrie statunitensi più vulnerabili.
Michael Hamilton, co-fondatore e chief information security officer di Critical Insight, ha affermato che l’idea di “negligenza esecutiva” – in cui le aziende possono essere ritenute personalmente responsabili per i danni – diventerà più nitida. I CISO, ha detto Hamilton, “prestano un giuramento etico, ed è abbastanza chiaro che non menti su cose come questa”.
Foto: La sede di Uber Technologies a San Francisco. (David Paul Morris/Bloomberg)
Copyright 2022 Bloomberg.
Temi
Cibernetico