Le agenzie federali USA non sono al passo con la cybersecurity

Il Dipartimento dell'Agricoltura è una delle istituzioni considerate a rischio

Il Government Accountability Office (GAO) statunitense qualche giorno fa ha rilasciato un rapporto che evidenzia l’insufficiente preparazione alla cybersecurity di gran parte delle agenzie federali prese in esame.

17 agenzie su 23 ammettono di non aver implementato efficacemente i loro programmi di sicurezza informatica, mentre 10 agenzie sono considerate “a rischio di identificare, proteggere, riconoscere, rispondere e se necessario riprendersi da un’intrusione cibernetica in maniera inadeguata“.

Il rapporto mostra una situazione poco lusinghiera per il Governo USA, dove la maggior parte delle sue ramificazioni viene considerata non al passo con gli standard di cybersecurity delineati dal NIST (National Institute of Standards and Technology).

Non è la prima volta che il GAO bacchetta agenzie e dipartimenti federali (equiparabili ai nostri ministeri) USA. A ottobre fu la volta del Dipartimento della Difesa, che si ritrovò un rapporto che considerava vulnerabili e non sufficientemente protetti software e hardware collegati agli armamenti.

Fra i vari dati degni di nota, evidenziamo un grafico con gli incidenti di cybersecurity segnalati dalle varie agenzie governative durante il 2017 suddivisi per tipologia del vettore (ovvero, come hanno avuto inizio).

Vettori di attacco segnalati dalle agenzie governative USA nel 2017
Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.