La Cybersecurity ai tempi del Coronavirus

Nei giorni del Coronavirus, molti responsabili della sicurezza saranno chiamati a fornire consigli a centinaia di realtà pubbliche e private su come comportarsi. Se qualcuno si domanda perché dove si parla di cyber security irrompa l'epidemia che incombe sul nostro paese, la risposta è nella progressiva integrazione delle diverse anime della sicurezza, per cui il "fisico" e il "cyber" hanno finito spesso per essere gestiti da una sola struttura. In particolare di fronte a eventi catastrofici, come può esserlo un'epidemia, da anni le organizzazioni di tutto il mondo studiano e mettono a punto i cosiddetti piani di continuità operativa ovvero il modo in cui un'azienda o una pubblica amministrazione possono erogare i loro servizi essenziali in situazioni di emergenza. Inutile dire che nella circostanza particolare la tecnologia gioca un ruolo fondamentale: impossibile parlare di "smart working" senza il supporto dell'information technology.

Detto questo torniamo al punto di partenza e proviamo a immaginare su cosa baseranno le loro decisioni. Una fonte sarà probabilmente questa e fornirà alcune indicazioni, altre arriveranno da qui e qui, forse faranno un confronto con altre stime. Poi ci sono i provvedimenti locali e la valutazione sulla base dell'esperienza e del fatto che si parla di potenziale perdita di vite umane e questo ultimo elemento farà tutta la differenza. Di certo chi è riuscito a immaginare uno scenario come questo (francamente molto prevedibile) sarà organizzato in modo tale che la tecnologia consentirà alle persone di svolgere il proprio lavoro senza esporsi al rischio rappresentato dagli spostamenti. Per gli altri sarà tutto terribilmente complicato. Tuttavia tutti quelli che da molti anni si occupano di temi del genere non potranno fare a meno di pensare che non tutti i mali vengono per nuocere: un 'esercitazione oggi serve a preparare il domani quando ci sarà un problema vero.

Veniamo ora a quali "sorprese" ha riservato questa settimana il mondo della cyber security. Pochi ne hanno parlato, ma Huawei ha perso la causa che la opponeva al governo degli Stati Uniti. Un anno or sono il gigante cinese aveva citato in giudizio il Congresso per la norma che impediva alle agenzie federali di acquistare i suoi prodotti. Fatemi dire che non poteva andare diversamente, non tanto perché il giudice fosse statunitense, quanto perché la sentenza pronunciata dal giudice non ha fatto altro che stabilire l'ovvio: un organo legislativo può prendere le decisioni opportune sulla base di esigenze di sicurezza nazionale.

Come nel caso Huawei, ben pochi hanno notato due altri fatti piuttosto gravi di cui si è avuto notizia negli scorsi giorni. Il primo è relativo alla violazione dei sistemi del colosso software Citrix, avvenuta tra il 2018 e il 2019. Si tratta di un'azienda le cui soluzioni software sono presenti in centinaia di migliaia di aziende in tutto il mondo. Secondo quanto emerso dalle indagini, pare che a violare i sistemi di Citrix siano stati hacker iraniani utilizzando un'interessante tecnica denominata "password spraying". Per molto tempo chi voleva penetrare in una rete aziendale si concentrava su un account preciso e provava una serie di password considerate comuni. Rispetto a questa forma di attacco le organizzazioni fanno in modo che l'utenza si blocchi dopo un certo numero di tentativi. Per aggirare questo controllo i criminali hanno rovesciato i termini della questione e oggi provano la stessa password su migliaia di utenti: gli account non si bloccano e le probabilità di avere successo sono praticamente le stesse.

Come sempre ai delinquenti quello che non manca è la creatività. La seconda notizia riguarda la catena alberghiera MGM Resorts (la struttura più nota si trova a Las Vegas) che la scorsa settimana ha visto pubblicati su un sito hacker i dati personali di quasi 11 milioni dei suoi clienti. Sembra che le informazioni siano quelle relative a un attacco subito da MGM lo scorso anno: a titolo di consolazione per le vittime, i responsabile della sicurezza hanno dichiarato di essere fiduciosi del fatto che tra i dati divulgati non fossero presenti password e informazioni relative alle carte di credito. Quindi poteva andare peggio.

Chiudo con l'affare Google-Fitbit. La voracità di Mountain View per i dati personali degli utenti trova l'ennesima conferma nell'acquisizione nell'azienda specializzata nella raccolta di dati relativi all'attività motoria dei suoi utenti (contapassi, calorie consumate, etc.). Inevitabile l'intervento del Comitato dei Garanti Europei che ha chiesto Google l'assicurazione del pieno rispetto del Regolamento Europeo in materia. Basterà? Qualche dubbio sorge spontaneo.