Quando tutto è venuto alla luce, gli investitori avevano perso miliardi di dollari e le autorità di regolamentazione avevano perso credibilità. Fu allora che il Congresso intervenne, con il senatore Paul Sarbanes e il rappresentante Michael G. Oxley che sponsorizzarono il disegno di legge che avrebbe portato i loro nomi.
Sarbanes-Oxley, o SOX, è una lunga e vasta serie di regolamenti che coprono aree tra cui l’indipendenza dei revisori dei conti, una maggiore informativa finanziaria e l’ostruzione di un’indagine.
Una delle parti più potenti, la Sezione 302, costringe i dirigenti ad attestare personalmente l’accuratezza delle loro informazioni finanziarie su base trimestrale. Lo fa richiedendo che un funzionario aziendale certifichi di aver effettivamente esaminato il rapporto e che non contenga falsità. In altre parole, rimuove le scappatoie della “negabilità plausibile” che potrebbero consentire ai dirigenti di livello C di commettere frodi o di regnare su un’azienda in cui vengono commessi tali misfatti, dichiarando successivamente l’innocenza.
Oggi, la necessità di tale responsabilità si estende ai dati. I legislatori dovrebbero emanare una regolamentazione che ritenga i dirigenti personalmente responsabili della sicurezza delle informazioni nelle società che gestiscono.
Tre casi recenti evidenziano quanto sia cruciale.
Il mese scorso, una consociata di rete mobile australiana di Singapore Telecommunications Ltd. chiamato Optus è stato violato e i registri di quasi 10 milioni di persone sono stati rubati. Tra i dati a cui si è avuto accesso c’erano i nomi dei clienti, le date di nascita, gli indirizzi e-mail, i numeri di passaporto e patente di guida. In Australia, queste informazioni sono sufficienti per condurre potenzialmente un furto di identità con un sistema a punti utilizzato nel paese per la verifica dell’identità.
Le rivelazioni della violazione svelano due fatti particolarmente inquietanti su come Optus gestisce i dati. Innanzitutto, gran parte delle informazioni sembrano essere archiviate come testo normale, il che significa che non c’è alcun tentativo di crittografarlo o nasconderlo. Se un hacker può accedere al database, può leggere facilmente tutte queste informazioni. Come minimo, i dati dovrebbero essere sottoposti a hash. Questo è un processo che converte le informazioni utilizzando formule matematiche che non possono essere facilmente invertite. È utile perché un sistema informatico può verificare se le informazioni fornite da un utente corrispondono a quelle archiviate mantenendo nascosti i dati.
Peggio ancora, le informazioni sono state violate attraverso un’interfaccia di programmazione delle applicazioni (API) – un portale per la condivisione di dati con gli sviluppatori – con il ministro degli affari interni australiano Clare O’Neil che ha affermato che Optus aveva “di fatto lasciato la finestra aperta”. In sintesi, Optus ha archiviato i dati in modo scadente e non è riuscito a proteggerli adeguatamente. La società ha affermato che “si difenderà vigorosamente” da un reclamo legale per non aver protetto le informazioni personali dei clienti.
Poi ci sono le rivelazioni di Twitter Inc. l’informatore Peiter Zatko, comunemente noto come Mudge, che è stato assunto come responsabile della sicurezza nel novembre 2020.
Tra i punti salienti della denuncia di 84 pagine di Mudge c’è l’accusa che molte persone all’interno dell’azienda avessero troppo potere per leggere e modificare i dati sensibili. La sua violazione del ben consolidato principio del privilegio minimo – la limitazione dell’accesso al minimo richiesto per il loro lavoro – è stata un importante fattore che ha contribuito a una violazione del luglio 2020. In quell’hack, un diciassettenne e i suoi amici sono riusciti a prendere il controllo degli account di proprietà di Barack Obama, Bill Gates, Joe Biden, Elon Musk e Jeff Bezos.
Ciò che è particolarmente eclatante nel caso di Twitter è che i dirigenti senior della società di social media non solo erano consapevoli dei suoi numerosi problemi di sicurezza, ma che lo stesso Mudge è stato avvertito di non segnalarli al consiglio di amministrazione. Il 51enne, che è tra gli esperti di sicurezza informatica più rispettati al mondo, è stato licenziato a gennaio. L’amministratore delegato di Twitter Parag Agarwal ha successivamente descritto le affermazioni “come piene di incoerenze e imprecisioni e presentate senza un contesto importante”.
Infine, abbiamo un verdetto di colpevolezza emesso la scorsa settimana contro Joe Sullivan, l’ex capo della sicurezza di Uber Technologies Inc. Un tribunale della California ha ritenuto che avesse ostacolato un’indagine del governo e nascosto un hack del 2016 che ha portato al furto di dati personali di 50 milioni di clienti e 7 milioni di conducenti.
Molti prendono il caso Uber come un esempio di un Chief Information Security Officer (CISO) gettato sotto l’autobus per una massiccia violazione. Ma non è stato l’hacking, o anche le scarse pratiche di sicurezza delle informazioni, a mettere nei guai Sullivan. Ha lavorato “per nascondere la violazione dei dati alla Federal Trade Commission e ha adottato misure per impedire che gli hacker venissero catturati”, ha affermato un avvocato statunitense dopo il processo.
Si verificano hack e violazioni. Sono una sfortunata realtà nella società moderna. Eppure ci sono innumerevoli casi, incluso l’hacking della Colonial Pipeline dell’anno scorso, in cui le migliori pratiche non sono state seguite e i dirigenti non sono stati tenuti a rispondere fino a dopo che il danno era stato fatto. Le leggi sia a livello statale che federale richiedono alle aziende di segnalare gli hack, ma la regolamentazione è debole quando si tratta di garantire che tali violazioni non si verifichino in primo luogo.
È giunto il momento di prescrivere e far rispettare la conformità preventiva.
Proprio come gli Stati Uniti hanno generalmente accettato i principi contabili – con SOX che ha istituito il Public Company Accounting Oversight Board per aiutare con la conformità – il governo dovrebbe coordinare gli standard di sicurezza e ritenere i dirigenti responsabili. E poiché molti CISO non vengono presi sul serio, o addirittura ignorati, i principali funzionari tenuti a firmare devono includere non solo il capo della sicurezza ma anche l’amministratore delegato. La minaccia del carcere sarà un forte incentivo a prestare attenzione al modo in cui vengono gestiti i dati dei clienti.
Sebbene accademici e professionisti del settore discutano sui modi più sicuri ed economici per proteggere i dati, esistono best practice su cui la maggior parte può concordare. Il National Institute of Standards and Technology, ad esempio, elenca i metodi di hashing e crittografia dei dati che sono stati testati e verificati. Esistono anche framework su come determinare e allocare i privilegi di accesso alle informazioni, mantenere il software, conservare e archiviare i registri di rete ed eliminare i dati.
Anche con un’abbondanza di pratiche accettate già stabilite, i dirigenti non sono né obbligati né incentivati a garantire che vengano applicati.
Forse la minaccia di un’azione penale porterà finalmente i leader aziendali a prendere sul serio la sicurezza delle informazioni.
Altro da questo scrittore e altri a Bloomberg Opinione:
• La corsa è aperta per combattere una minaccia che non esiste: Tim Culpan
• Gli assicuratori devono prepararsi al rischio informatico catastrofico: Olson e Culpan
• Le autorità di regolamentazione possono esaminare la scatola nera dei social media: Parmy Olson
Questa colonna non riflette necessariamente l’opinione della redazione o di Bloomberg LP e dei suoi proprietari.
Tim Culpan è un editorialista di Bloomberg Opinion che si occupa di tecnologia in Asia. In precedenza, è stato un giornalista tecnologico per Bloomberg News.
Altre storie come questa sono disponibili su bloomberg.com/opinion