In un esperimento innovativo, un organo di controllo del governo degli USA ha eseguito un test di sicurezza simulando un attacco hacker ai sistemi cloud del Dipartimento dell’Interno degli Stati Uniti, riuscendo a rubare oltre 1GB di dati personali apparentemente sensibili. La buona notizia è che i dati erano falsi, creati appositamente per questa verifica che mirava a valutare la sicurezza dell’infrastruttura cloud del Dipartimento.
L’Esperimento di sicurezza
Il rapporto dell’Ufficio dell’Ispettore Generale (OIG) del Dipartimento dell’Interno descrive dettagliatamente l’esperimento, condotto tra marzo 2022 e giugno 2023. Lo scopo era testare non solo l’infrastruttura cloud ma anche la soluzione di “data loss prevention” del Dipartimento, un software destinato a proteggere i dati più sensibili da attacchi informatici.
Metodologia del Test
Per verificare la sicurezza, l’OIG ha utilizzato uno strumento online chiamato Mockaroo per generare dati personali fittizi che sembrassero validi agli strumenti di sicurezza del Dipartimento. Successivamente, attraverso una macchina virtuale all’interno dell’ambiente cloud del Dipartimento, hanno simulato un “attore di minaccia sofisticato” e hanno impiegato tecniche ben note per esfiltrare i dati, senza installare strumenti, software o malware aggiuntivi.
Risultati del Test
Nonostante più di 100 test condotti in una settimana, nessuno è stato rilevato o impedito dalle difese di sicurezza del Dipartimento. L’OIG ha concluso che il successo dei test era dovuto alla mancata implementazione di misure di sicurezza adeguate da parte del Dipartimento, incapaci di prevenire o rilevare tecniche comunemente utilizzate per il furto di dati sensibili.
Implicazioni e raccomandazioni
Queste lacune nei sistemi e nelle pratiche del Dipartimento mettono a rischio l’accesso non autorizzato a informazioni personali sensibili di decine di migliaia di dipendenti federali. Sebbene possa essere impossibile fermare completamente un avversario ben finanziato, con alcuni miglioramenti potrebbe essere possibile impedirgli di esfiltrare dati sensibili.
Un’opportunità di miglioramento
Questo “data breach” controllato offre al Dipartimento dell’Interno USA l’opportunità di rafforzare i propri sistemi e difese, seguendo una serie di raccomandazioni elencate nel rapporto soprattutto per il cloud che rappresenta la frontiera più stressata degli attacchi. L’anno scorso, l’OIG del Dipartimento dell’Interno ha anche costruito un impianto personalizzato per il cracking delle password, parte di un sforzo per testare la sicurezza delle password dei dipendenti del Dipartimento.