Lo scorso 10 luglio Katherine Archuleta, direttore dell’Office of Personnel Management (OPM, agenzia indipendente del Governo americano che si occupa della gestione del personale federale), si è dimessa a causa dello scandalo che è seguito a un data breach di enormi dimensioni – la perdita dei dati personali di 21,5 milioni di dipendenti ed ex dipendenti dell’ente federale.
In giugno OPM aveva parlato di un breach relativo a 4,2 milioni di persone scoperto in aprile, ma in seguito l’agenzia ha dovuto ammettere che, come conseguenza di un successivo attacco, la dimensione del danno è stata molto maggiore, addirittura 5 volte più grande. Da più parti è quindi partita la richiesta di dimissioni del direttore generale Archuleta, che non ha saputo affrontare con velocità e competenza il problema a cui stava andando incontro l’agenzia.
Per entrambe le fughe di dati (numeri di Social Security, dati legati all’impiego e alla salute, informazioni finanziarie, indirizzi, impronte digitali, sia di dipendenti sia di ex dipendenti oltre che parzialmente loro amici e familiari) sarebbero indiziati i Cinesi.
In precedenza il direttore Archuleta aveva negato che si sarebbe dimessa, difendendosi con l’affermazione che la sua agenzia aveva continuamente migliorato la propria Cybersecurity Posture fin dal suo arrivo nel 2013. “E’ grazie all’impegno dell’OPM e del suo staff se siamo stati in grado di identificare le fughe di dati” aveva affermato Archuleta. Ma successivamente la sua posizione è diventata insostenibile.
In risposta all’evento OPM ha dichiarato che notificherà quanto successo ai circa 21,5 milioni di individui, offrendo loro un servizio triennale di credit monitoring e di anti-frode in modo da proteggerli contro eventuali attaccanti cyber. Michael Esser, assistente dell’ispettore generale responsabile degli audit in OPM, ha confermato i passi avanti effettuati nell’agenzia sugli aspetti di cybersecurity, ma nel contempo si è detto frustrato dal fatto che molti degli avvertimenti partiti dal suo ufficio, che risalgono fino al 2007, non sono stati mai presi in considerazione.
Secondo Esser l’aspetto più grave è che manca nell’agenzia un framework di governance per l’information security, anche a causa di una struttura organizzativa decentralizzata.”Sarebbe vitale dotarsi di una struttura di governance centralizzata” ha detto Esser. “OPM ha fatto dei miglioramenti in questo ambito, ma deve essere fatto ancora molto per recuperare rispetto a una situazione decennale di decentralizzazione.”
Continua a leggere l'Articolo