Skip to content

Buone e cattive notizie su quella violazione dei dati di Capital One

Capital One ha annunciato la scorsa settimana che un ex dipendente del suo provider di servizi cloud ha avuto accesso illegalmente alle applicazioni delle carte di credito di circa 106 milioni di persone provenienti da Stati Uniti e Canada. La violazione ha coinvolto indirizzi, date di nascita e altre informazioni tra cui 140.000 numeri di previdenza sociale e 80.000 numeri di conti bancari collegati dal 2015 all’inizio del 2019.

L’annuncio è arrivato pochi giorni dopo che Equifax ha accettato di pagare fino a $ 700 milioni per risolvere le cause intentate dalla Federal Trade Commission e dai procuratori generali dello stato derivanti da una violazione dei dati del 2017 su 147 milioni di americani.

In effetti, negli ultimi dieci anni le massicce violazioni dei dati sono diventate una storia sempre più frequente e familiare. Marriott ha rivelato la perdita di 500 milioni di record nel 2018; Adult Friend Finder di 412 milioni nel 2017; e Yahoo ha riportato la perdita di informazioni su 3 miliardi di account nel 2016. Secondo i ricercatori di sicurezza, anche la violazione di Capital One potrebbe essere molto più grande di quanto originariamente annunciato.

ANNUNCIO

Le violazioni sono la nuova normalità. In effetti, non è esagerato affermare che, nonostante gli investimenti di miliardi di dollari in maggiori protezioni informatiche, non siamo in grado di proteggere assolutamente i dati.

Robert MuellerRobert (Bob) MuellerUna stampa indiscussa promuove il libro del rappresentante Adam Schiff basato sulla narrativa russa I Democratici del Senato esortano Garland a non combattere l’ordine del tribunale di rilasciare il memo di ostruzione di Trump Perché un consiglio speciale è garantito se Biden sceglie Yates, Cuomo o Jones come AG ALTRO, quando era direttore dell’FBI, disse notoriamente: “Sono convinto che ci siano solo due tipi di società: quelle che sono state hackerate e quelle che lo saranno. E anche loro stanno convergendo in una categoria: le società che sono state hackerate e lo faranno essere hackerato di nuovo.” Poco è cambiato da quando ha pronunciato queste parole nel 2013. Facciamo sempre più affidamento sui dati, ma non possiamo proteggerli in modo efficace. È così semplice.

Ci sono buone e cattive notizie su questa realtà. La buona notizia è che c’è molto che possiamo fare collettivamente per “disarmare” dati di routine come nome, indirizzo e persino numero di previdenza sociale. La maggior parte dei criminali ruba questo tipo di dati solo perché può utilizzarli per commettere frodi. Se rendessimo i dati meno utili, ridurremmo l’incentivo a rubarli.

La legge federale ha già fatto un passo in questa direzione, concedendo a tutti i consumatori il diritto di bloccare gratuitamente i propri rapporti di credito, in modo che non possano essere aperti nuovi conti di credito. Se più individui si avvalessero di questo diritto, ci sarebbero meno cose che i ladri potrebbero fare con i dati rubati e quindi meno ragioni per rubarli.

Ma dobbiamo andare oltre. I numeri di previdenza sociale sarebbero un buon punto di partenza. Per quasi un secolo, i SSN non sono mai stati tenuti segreti: sono stati stampati su carte d’identità, buste dell’IRS, moduli di lavoro, persino nel Registro del Congresso quando gli ufficiali militari sono stati promossi. Quindi le aziende hanno iniziato a utilizzare SSNS come password e numeri di conto predefiniti. Piuttosto che fermare questo uso improprio dei SSN, le autorità di regolamentazione hanno iniziato il compito di Sisifo di cercare di proteggere i SSN.

Un approccio più razionale sarebbe quello di non utilizzare mai un SSN, un numero originariamente creato solo per collegare un individuo alle informazioni sui suoi benefici per l’identificazione. Se non trattiamo il numero come un modo per verificare l’identità, i ladri non potranno usarlo per falsificare le identità degli altri.

Allo stesso modo, molte altre informazioni storicamente pubbliche come nome, indirizzo e numero di telefono sarebbero meno rischiose se smettessimo di usarle come un modo conveniente ma inefficace per verificare l’identità. Potrebbe essere un po’ più scomodo, almeno a breve termine, richiedere dati biometrici o altri strumenti per la verifica dell’identità, ma l’effetto immediato sarebbe quello di eliminare un po’ di fastidio dal furto di questo tipo di dati. E anche l’inconveniente probabilmente svanirebbe quando gli strumenti per verificare l’identità molto meglio del nome e dell’indirizzo verranno sostituiti con impronte digitali, riconoscimento facciale e altre nuove tecnologie.

La notizia più preoccupante alla luce del fatto che non possiamo proteggere i dati è il fatto che continuiamo a implementare nuove tecnologie che si basano sui dati per pilotare aeroplani, guidare automobili, gestire la sicurezza di casa e ufficio, condurre interventi chirurgici, gestire il nostro sistema finanziario e per mille altri usi mission-critical. Queste innovazioni sono impressionanti, ma il fatto che non possiamo proteggere i dati su cui fanno affidamento, dimostrato dalla frequenza di massicce violazioni dei dati dovrebbe farci riflettere due volte prima di affidare loro la nostra economia e le nostre vite.

Finora, ci sono poche prove che stiamo prestando attenzione a questa lezione. L’Economist è apparso nella sua copertina dell’8 aprile 2017 con il titolo “Perché i computer non saranno mai sicuri” e ha intitolato il suo articolo di approfondimento nell’edizione cartacea “Il mito della sicurezza informatica”. Nonostante le prove schiaccianti che i dati sono fuori controllo, continuiamo a correre a capofitto verso una maggiore dipendenza da sistemi automatizzati basati sui dati.

Un rapporto GAO del 2018 ha rilevato “vulnerabilità cibernetiche mission-critical” in “quasi tutti” i sistemi d’arma in fase di sviluppo. Più recentemente, i funzionari del DOD hanno riconosciuto l’acquisto di apparecchiature IT standard con “rischi noti per la sicurezza informatica”. Centrali elettriche, centrifughe, droni militari e pompe di insulina sono state compromesse, senza essere richiamate o fornite soluzioni di sicurezza informatica. La botnet Mirai del 2016 ha devastato il Web “dirottando la potenza di calcolo di webcam, baby monitor e altri dispositivi collegati”. Chrysler ha dovuto richiamare 1,4 milioni di Jeep dopo che sono state violate e gli hacker che lavorano per il DHS hanno compromesso i sistemi di un Boeing 757.

ANNUNCIO

Per quanto importanti possano essere i dati sui consumatori detenuti da Equifax, Facebook e Capital One, impallidiscono in confronto al danno che può essere causato dalla nostra incapacità di proteggere i dati da cui dipende sempre più la nostra infrastruttura critica.

Di conseguenza, il Congresso e le autorità di regolamentazione dovrebbero richiedere test rigorosi delle tecnologie basate sui dati prima che vengano implementate e dovrebbero considerare di limitare la vendita o l’uso di tali tecnologie per funzioni critiche fino a quando non sarà possibile dimostrare che sono sicure.

Dovremmo considerare la necessità di sistemi di backup, compresi gli operatori umani, che non si basano su tecnologie basate sui dati.

Dovremmo investire di più nella ricerca non solo per proteggere i dati, ma anche per ridurre le conseguenze degli attacchi informatici.

E sia nel settore pubblico che in quello privato abbiamo bisogno di un approccio più ponderato e più cauto alla protezione dei dati e dei sistemi che si basano sui dati, che controllano sempre più parti essenziali della nostra economia, del nostro governo e delle nostre vite.

Ciò che rende le cattive notizie ancora peggiori è che è destinata a verificarsi un’altra violazione che non possiamo permetterci di aspettare ancora prima di agire.

Fred H. Cate è vicepresidente per la ricerca, un illustre professore, C. Ben Dutton professore di diritto e ricercatore presso il Center for Applied Cybersecurity Research dell’Indiana University.

Visualizza il thread di discussione.

Leave a Reply

Your email address will not be published. Required fields are marked *