I regolatori adottano un tono diverso sulla sicurezza informatica

Una direttiva emessa dalla Federal Trade Commission (FTC) che richiede a GoDaddy di migliorare la sicurezza dei suoi servizi di hosting suggerisce che il governo federale sta diventando più prescrittivo riguardo alle linee guida fornite al settore privato.

Dopo una serie di violazioni risalenti al 2018, l'FTC all'inizio di quest'anno ha accusato GoDaddy di aver violato la Sezione 5 del FTC Act per non aver implementato pratiche di sicurezza standard sui siti web dei clienti nonostante avesse vantato una “sicurezza premiata.”

La FTC, come parte di un accordo, ha ora emesso un ordine che richiede specificamente a GoDaddy di designare una persona responsabile di un programma di sicurezza delle informazioni, adottare un sistema di gestione degli eventi di sicurezza delle informazioni (SIEM) o un altro strumento che fornisca un'analisi quasi in tempo reale degli eventi di sicurezza, creare un sistema di registri di audit, affrontare i problemi di autenticazione con certificati, coppie di chiavi private-pubbliche o tecnologie simili, e implementare l'autenticazione multifattoriale per dipendenti, appaltatori e affiliati di terze parti.

GoDaddy deve anche sottoporsi a una revisione iniziale e poi sottoporsi a valutazioni delle sue operazioni di sicurezza ogni due anni da parte di valutatori terzi.

Mentre la maggior parte dei professionisti della sicurezza informatica sarebbe d'accordo sul fatto che queste misure equivalgano a richiedere a GoDaddy di adottare un insieme generalmente riconosciuto di best practice, la FTC sta assumendo un tono decisamente diverso rispetto a quello adottato in passato da altre agenzie governative. La maggior parte delle critiche nei confronti di qualsiasi organizzazione del settore privato è giunta sotto forma di consigli piuttosto che di direttive.

Inoltre, la FTC sta impegnandosi in una certa misura di pubblica umiliazione nella speranza che altre organizzazioni con scarsa sicurezza informatica possano essere più motivate a affrontare questi problemi prima che la FTC o qualche altra agenzia determini che sia necessario intervenire.

In generale, i governi di tutto il mondo stanno prestando molta più attenzione al livello effettivo di sicurezza informatica implementato nel settore privato. Ora c'è in tutto il mondo una maggiore consapevolezza delle implicazioni per la sicurezza nazionale delle piattaforme ampiamente utilizzate. Il presidente di Microsoft Brad Smith, ad esempio, l'anno scorso si è trovato a scusarsi per le pratiche di sicurezza informatica lassiste dell'azienda che sono state scoperte dal Cyber Security Review Board (CSRB), un ramo della Cybersecurity and Infrastructure Security Agency (CISA).

Le agenzie federali potrebbero non avere le risorse necessarie per esaminare ampiamente le pratiche di sicurezza informatica in tutto il settore privato, ma il tono e l'approccio degli impegni con le agenzie federali sta cambiando. C'è chiaramente meno simpatia per le organizzazioni che non riescono a implementare livelli appropriati di sicurezza informatica. I giorni in cui era ingiusto incolpare la vittima di un attacco informatico stanno volgendo al termine. Ora ci si aspetta che le organizzazioni non solo siano ben consapevoli dei rischi che affrontano, ma debbano anche essere viste attivamente prendere misure per mitigarli.

Ogni organizzazione, di conseguenza, dovrebbe fare un bilancio del proprio attuale livello di impegno nella sicurezza informatica. È improbabile che qualcuno di un'agenzia federale si presenti domani a porre domande difficili, ma in caso di incidente, i team IT e di sicurezza informatica dovrebbero aspettarsi di essere interrogati in modo molto più mirato su quali misure abbiano preso per prevenirli in primo luogo.