Può una password dimenticata causare maggiori danni e panico di un attacco cibernetico? Nel caso di un erroneo alert inviato via Twitter ai cittadini relativo ad un missile in arrivo il rischio è forte e alle Hawaii darebbero di sicuro una risposta affermativa.
Tra la segnalazione e la comunicazione che si trattava di un falso allarme sono trascorsi 17 minuti, osserva Shay Nahari, a capo del Red Team Services di CyberArk.
Secondo il governatore dello stato il ritardo nel far cessare l'allarme era derivato dal fatto che si era dimenticato quale fosse il proprio username su Twitter e la relativa password.
Il caso costituisce in pratica un lampante esempio di come i social media abbiano un ruolo crescente anche per quanto concerne il rapporto cittadini-government, soprattutto in momenti critici come quello evidenziato, ma lo stesso potrebbe dirsi in caso di minacce di alluvioni o altri eventi catastrofici o meno catastrofici.
Quello su cui mette in guardia Nahari è che tutti i pubblici ufficiali dovrebbero rivedere rapidamente come gestiscono gli account. La revisione dovrebbe estendersi al rafforzamento delle difese dei sistemi di comunicazione per prevenire attacchi da hacker che potrebbero usarle come punto di diffusione di informazioni false.
Quello che si evince è che account con valenza governativa e pubblica utilizzati per comunicazioni sensibili ai cittadini dovrebbero essere trattati come si trattano le infrastrutture critiche e soggetti alle medesime pratiche per la cyber security.
Prudenzialmente, Nahari suggerisce di mettere in pratica una serie di punti. Vediamoli brevemente.
- Accesso trasparente: Gli user qualificati devono potersi autenticare in modo trasparente senza la necessità di conoscere la propria password, in modo da rendere difficile per gli hacker appropriarsi delle credenziali.
- Niente credenziali condivise: Memorizzare le password in un vault digitale richiede il login individuale dell'user ed elimina i rischi connessi a credenziali condivise.
- Aggiornamento automatico delle password: La rotazione delle credenziali privilegiate fa sì che un attaccante non possa usare vecchie password. Aggiornare periodicamente le password implica anche l'aggiornamento dei privilegi di accesso e riduce la probabilità che un hacker esterno possa rubarle.
- Audit degli account: La registrazione delle attività degli account connessi a social media permette di tracciare i post fatti sino a livello dell'user individuale.
Il falso allarme verificatosi alle Hawaii e in Giappone hanno messo in luce l'elevato grado di fiducia che il governi, le organizzazioni e i cittadini ripongono nei social media e quanto li ritengano credibili per le comunicazione pubbliche, ma sono un esempio di cosa può andar storto .