USA, il Dipartimento dell'Energia ha il web bucato

USA, il Dipartimento dell'Energia ha il web bucato

Un recente rapporto mette in luce il colabrodo dei server che ospitano i dati degli utenti dell'agenzia governativa statunitense. Dalla redirezione a contenuti porno alla perdita di dati sensibili, ce n'è davvero per tutti i gusti
Un recente rapporto mette in luce il colabrodo dei server che ospitano i dati degli utenti dell'agenzia governativa statunitense. Dalla redirezione a contenuti porno alla perdita di dati sensibili, ce n'è davvero per tutti i gusti

Possibile che pagare una bolletta significhi sbandierare i propri dati personali e diffonderli ai quattro venti? Possibile sì, soprattutto negli Stati Uniti. Lo sostiene l’Ufficio dell’Ispettore Generale del Dipartimento dell’ Energia : quei sistemi sono tutto fuorché sicuri, affidabili e ben gestiti.

La sicurezza IT delle infrastrutture del DoE fa acqua da tutte le parti, avverte il rapporto pubblicato dopo una verifica dei servizi e siti web dell’agenzia accessibili pubblicamente. Lo studio non entra nel dettaglio delle vulnerabilità e delle storture individuate, ma risulta impietoso nell’evidenziare l’inefficienza delle strutture di controllo del DoE .

Sebbene siano presenti anche comparti che hanno adottato e adottano misure di sicurezza adeguate, un buon numero di aree fa l’esatto contrario: succede nel caso del sito del Brookhaven National Laboratory , trasformatosi in un dispensatore di link a contenuti pornografici a seguito di un attacco telematico subito lo scorso anno.

Nel complesso, gli incidenti che hanno provocato la compromissione dei dati in possesso del DoE ammontano in media a 20 l’anno, per un totale di 60 diversi casi registrati negli ultimi tre anni. E piuttosto che ad hacker e malintenzionati, la tendenza è imputabile ad errori da parte dello stesso personale dell’agenzia e trae spesso origine dalla mancanza di politiche di sicurezza e controllo adeguate.

L’Ispettore Generale individua due cause principali che hanno portato alla situazione attuale. La prima riguarda la non corretta autorizzazione e certificazione a operare dei server web interessati , condizione che, unita alla mancanza del rispetto delle linee guida federali sulla sicurezza, crea le condizioni ideali per scatenare potenziali attacchi ed exploitare vulnerabilità e falle assortite.

La seconda causa scatenante è rappresentata dall’ eccessiva frammentazione dei dipartimenti di controllo , decentralizzati per quel che concerne il rispetto delle procedure di sicurezza. Una situazione che arriva al punto di contare, per un sito web non meglio identificato, 30 diversi “controllori” per 140 server. Troppi galli a cantare nel pollaio IT del DoE insomma, al punto che “il dipartimento è stato incapace di fornire un inventario dei server pubblici attivi, nonostante l’E-Government Act obblighi le organizzazioni a mantenere quelle informazioni”.

Per il futuro, il rapporto degli ispettori riferisce della volontà di migliorare in positivo le cose da parte del DoE, e si prevedono incontri successivi con i responsabili per ricondurre l’agenzia nella giusta carreggiata.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 26 mar 2008
Link copiato negli appunti