Ancora dubbi e domande sulla app Immuni
Cyber Security

Ancora dubbi e domande sulla app Immuni

La Rubrica Cybersecurity Week

La ministra dell'istruzione Lucia Azzolina annuncia che il prossimo anno scolastico si prospetta decisamente "cyber", un tema di cui avevo già parlato qui. A parte l'annuncio non è chiaro come si riuscirà nell'impresa in quattro mesi e, al di là degli ostacoli tecnologici e operativi da superare, con quali garanzie per la tutela dei dati dei minori e la sicurezza dei sistemi. Sul sito del MIUR non sono rintracciabili indicazioni in materia e tutto quello di cui dispongono insegnanti, genitori e studenti sono le prime indicazioni dell'Autorità Garante per la Protezione dei dati dello scorso 26 marzo. Se il buongiorno si vede dal mattino si annunciano giornate di tempesta.

Nel frattempo continua l'epopea della app Immuni di cui si capisce sempre meno. Sembra che le infrastrutture saranno gestite da Sogei, l'azienda informatica del governo, con la supervisione di PagoPA, la società che si occupa dei pagamenti verso le pubbliche amministrazioni. Queste realtà si aggiungono all'ovvio coinvolgimento del Sistema Sanitario Nazionale e delle aziende che stanno realizzando Immuni. Queste ultime forniranno soltanto il codice sorgente secondo quanto ha dichiarato il ministro dell'innovazione, ma se così fosse mi pongo una domanda: la versione definitiva per il nostro governo con le relative personalizzazioni sarebbe sviluppata da altri? Forse da un team di sviluppo interno a Sogei o PagoPA?

In ogni caso il fatto che gli sviluppatori dell'applicazione non abbiano con assoluta certezza accesso ai dati raccolti, implica una gestione per nulla semplice (fare test funzionali senza basi dati "reali" richiede un discreto sforzo di immaginazione, così come correggere errori di programmazione o difetti che emergessero in futuro). Impensabile, inoltre, il rilascio di Immuni senza l'effettuazione di test di sicurezza che, per logica, dovranno essere svolti da una terza parte, diversa da quelle coinvolte nella gestione. Insomma, se sulla minimizzazione nella raccolta dei dati potremmo esserci su quella di chi avrà la possibilità di accedervi c'è ancora da fare chiarezza.

Si conferma anche per questa settimana l'interesse di criminali e ricercatori in materia di sicurezza per le piattaforma di collaboration con il conseguente sovrapporsi di informazioni spesso fuorvianti per gli utenti. La scorsa settimana è stata la volta di Teams finire nell'occhio del ciclone. Quanto accaduto al sistema di collaborazione di Microsoft ci offre lo spunto per fornire un chiarimento su una distinzione banale e spesso poco chiara. Molte testate hanno affermato che Teams era stato hackerato e quindi molti utilizzatori del servizio avrebbero potuto pensare di avere potenzialmente subito il furto dei propri dati o in generale delle informazioni che trattano. In realtà la notizia era leggermente, ma significativamente diversa. Un gruppo di ricercatori aveva scoperto una vulnerabilità che potenzialmente poteva essere sfruttata per compromettere il sistema. Non a caso il giorno dopo l'annuncio era già disponibile l'aggiornamento che correggeva il problema. Tecnicamente gli scopritori del difetto hanno effettuato una "responsible disclosure", in parole povere hanno avvertito il produttore del difetto, atteso che lo correggesse e quindi annunciato la scoperta. In sintesi sarebbe sempre opportuno leggere con attenzione le notizie per capire se il sistema di cui si parla è stato effettivamente hackerato da criminali o meno.

A questo proposito chi invece ha subito un attacco reale è stato il provider MailUp che ha comunicato come alcuni suoi sistemi siano stati oggetto dell'azione di un ransomware (malware che crittografa i dati per poi chiedere un riscatto). L'incidente si è risolto in pochi giorni apparentemente senza perdita di dati e con disservizi non gravi.

I più letti

avatar-icon

Alessandro Curioni