Serve più attenzione alla sicurezza degli account governativi

Gli account governativi sui social media devono essere trattati  con gli stessi criteri utilizzati per le infrastrutture pubbliche critiche. CyberArk spiega come

 

Certe volte il rischio viene da dove meno uno se lo aspetta o perlomeno con una pericolosità sottostimata rispetto ad altre più usuali e note minacce. Ad esempio, osserva Shay Nahari, che guida il Red-Team services di CyberArk, può una password dimenticata causare maggiori danni di un effettivo attacco cibernetico? Nel caso di un erroneo alert via Twitter relative ad un missile balistico in arrivo alle Hawaii la risposta non è che affermativa.

Un falso allarme simile a quello citato si è avuto solo pochi giorni dopo in Giappone. Pur se entrambi i casi di erroneo allarme sono stati attribuiti a un errore dei dipendenti, sono eventi che dovrebbero portare immediatamente a una seria rivalutazione delle procedure di cyber security inerenti la salvaguardia dei sistemi di comunicazione e di come sono generati e da chi gli allarmi.

Tra la segnalazione e la comunicazione che si trattava di un falso allarme sono trascorsi 17 minuti, osserva il manager, Un tempo che per gli abitanti interessati, viene da aggiungere, deve essere parso lungo un secolo visto da dove e da chi proveniva.

Ma perché il ritardo nel far cessare l’allarme? Secondo il governatore dello stato semplicemente perché si era dimenticato quale fosse il proprio username su Twitter e la relativa password.

Il caso costituisce in pratica un lampante esempio di come i social media abbiano un ruolo crescente anche per quanto concerne il rapporto cittadini-government, soprattutto in momenti critici come quello evidenziato, ma lo stesso potrebbe dirsi in caso di minacce di alluvioni o altri eventi catastrofici o meno catastrofici.

L'allarme inviato via social media
L’allarme inviato via social media

Account come infrastrutture critiche

Quello su cui mette in guardia Nahari, e di certo a buona ragione, è che tutti i pubblici ufficiali con posizioni di governo che fanno ricorso ai social media in caso di emergenze nazionali o territoriali dovrebbero rivedere rapidamente come gestiscono gli account in modo da eliminare la possibilità che una password dimenticata possa ritardare la distribuzioni di comunicazioni critiche.

La revisione dovrebbe anche interessare un rafforzamento delle difese di sistemi di comunicazione in modo da prevenire attacchi da parte di hacker che potrebbero usarle come trampolino per la diffusione di informazioni false, una possibilità tutt’altro che remoto nel sin troppo variegato e sofisticato panorama attuale degli attacchi cibernetici.

Non che quanto ipotizzato non sia poi già avvenuto. Ad esempio un falso tweet inviato dalla Associated Press si è tramutato in pochi minuti una perdita di 136,5 miliardi dell’indice S&P 500.

Quello che si evince è che account con valenza governativa e pubblica utilizzati per comunicazioni sensibili ai cittadini dovrebbero essere trattati come si trattano le infrastrutture critiche e soggetti alle medesime pratiche per la cyber security adottate da tempo in settori di public utilities quali quelli dell’energia, dei trasporti o dell’industria chimica.

Account di social media governativi quali Twitter, Facebook, YouTube, LinkedIn o similari sono per loro natura account condivisi, che implica il fatto che team di persone attraverso un’agenzia pubblica vi hanno accesso e possono inoltrare post, con il fatto critico che le password di tali account sono non di rado condivise tra i membri del team, fattore che facilita gli attacchi esterni o interni.

Trattando questi account come si trattano gli utenti privilegiati e applicando ad essi le medesime best practice diventa possibile per le agenzie governative garantirsi che una password dimenticata non rallenti comunicazioni vitali, mentre allo stesso tempo si rafforza la protezione contro attacchi apportati dall’esterno.

Shay Nahari, responabile del Red-Team services di CyberArk
Shay Nahari, responabile del Red-Team services di CyberArk

 Cosa fare

Ma, in concreto, cosa è possibile fare per rafforzare la protezione e ridurre il rischio? Vediamo cosa suggerisce Nahari:

  • Garantire un accesso trasparente: Gli user autorizzati devono potersi autenticare in modo trasparente senza la necessità di conoscere la propria password, in modo da rendere difficile per gli hacker appropriarsi delle credenziali. Con un tale approccio gli abitanti delle avrebbero corso meno rischi di infarto.
  • Evitare credenziali condivise: Memorizzare le password in un vault digitale richiede il login individuale dell’user ed elimina i rischi connessi a credenziali condivise.
  • Automatizzare l’aggiornamento delle password: La rotazione periodica delle credenziali privilegiate fa sì che un attaccante non possa usare vecchie password. Aggiornare periodicamente le password implica anche l’aggiornamento periodico dei privilegi di accesso e riduce ulteriormente la probabilità che un hacker esterno possa rubare ed usare credenziali ancora valide.
  • Attività di Audit degli account: La registrazione delle attività inerenti account connessi a social media permette di tracciare i post fatti sino a livello dell’user individuale autorizzato.

Il falso allarme verificatosi alle Hawaii e in Giappone hanno messo in luce l’elevato grado di fiducia che il governi, le organizzazioni e i cittadini ripongono nei social media e quanto li ritengano credibili per le comunicazione pubbliche.

Costituiscono tuttavia un esempio, osserva Nahari, di cosa può andar storto quando questi canali di comunicazione al pubblico non sono gestiti in modo appropriato

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli