Esaminiamo l’intricata questione della sicurezza dei social media nelle agenzie governative e la necessità di procedure chiare.
Gli account social delle agenzie federali pongono rischi di sicurezza rilevanti, come dimostrato dal recente attacco subìto dall’account della Securities and Exchange Commission (SEC), che ha evidenziato un punto dolente nella cyber security istituzionale: l’attuazione di misure di sicurezza affidabili, in particolare l’adozione dell’autenticazione a più fattori (MFA).
L’incidente della SEC, frutto di un attacco di sim-swapping e aggravato dalla disabilitazione dell’autenticazione multifattore, pone l’accento sulla potenza che detengono i profili social governativi e sulla delicatezza nella loro gestione. Tale evento solleva un interrogativo fondamentale:
È obbligatorio per le agenzie federali utilizzare l’autenticazione multifattore per i loro account social?
Una questione apparentemente semplice si svela essere un intreccio di responsabilità e normative. Le autorità, come l’Office of Management and Budget (OMB) e la Cybersecurity and Infrastructure Security Agency (CISA), non offrono risposte chiare, mentre esperti in materia suggeriscono che protezioni come l’MFA siano così basilari che le agenzie non dovrebbero necessitare di un mandato specifico per implementarle.
Ciononostante, ci sono segnali discordanti nell’approccio alla sicurezza sui social da parte delle varie agenzie. Per esempio:
- L’Environmental Protection Agency si affida a strumenti di gestione social terzi integrati con sistemi di accesso unico.
- Il Department of Energy ha affermato di utilizzare MFA e incoraggia i propri uffici e laboratori nazionali a fare altrettanto.
- Il Department of Justice promuove presso i suoi gestori di social media le migliori pratiche, inclusa l’MFA.
- Il Consumer Financial Protection Bureau dichiara di utilizzare l’autenticazione multifattore quando disponibile.
La disparità di approcci suggerisce una mancanza di unità procedurale, a volte causata da interpretazioni divergenti delle direttive esistenti.
Alcune agenzie hanno intensificato gli sforzi di sicurezza dopo l’incursione informatica subìta dalla SEC, vedendola come un monito. Tuttavia, le policy visibili sui social media rivelano diverse impostazioni nei confronti dell’MFA, che alcune citano documenti supportivi specifici o, talvolta, nessun documento affatto.
Un’analisi dettagliata della situazione attuale dimostra una certa confusione su quale sia l’attuale stato della normativa in merito alla sicurezza sui social. Questo variegato panorama evidenzia un evidente bisogno di chiarezza normativa da parte della Casa Bianca o del Congresso sui requisiti di base per la sicurezza degli account social.
Il paesaggio normativo è intricato: mentre alcuni esperti sostengono che ordini esecutivi già esistenti dovrebbero esigere l’uso di MFA, altri non sono certi che queste norme catturino applicazioni di terze parti. La varietà di autorità citate dalle agenzie federali riguardo le misure di sicurezza per le piattaforme social indica l’urgenza di maggiore chiarezza su quali regole si applichino effettivamente.
È imprescindibile che le agenzie governative adottino una postura di sicurezza in grado di minimizzare il rischio di incidenti come quello capitato alla SEC. Per garantire ciò, si rende necessaria una definizione cristallina delle policy di sicurezza social, tanto per il pubblico quanto per le stesse agenzie.