Quanto è difficile valutare un attacco cyber

Nel week end è giunta da Padova la notizia che i dati personali di bambini e famiglie degli utenti delle mense scolastiche potrebbero essere stati oggetto di una violazione. Il fatto è grave, ma quanto lo sia si potrà appurare nei prossimi giorni, se i protagonisti faranno delle comunicazioni. Per la situazione potrebbe essere peggio di quanto sappiamo a oggi? La ragione è semplice: sembra che la vittima dell’incidente non sia il Comune della città veneta, ma la società a cui il servizio era stato appaltato, la Dussmann Service s.r.l. che è non esattamente una piccola azienda locale. Si tratta della filiale italiana del tedesco Dussmann Group con ricavi di circa 2 miliardi di euro a livello mondiale.

Secondo la comunicazione inviata alle famiglie, la società “ha avviato una analisi per appurare la violazione, il volume e la natura dei dati personali presumibilmente violati…” L’indagine interna risulta particolarmente importante perché l’azienda in Italia di mense scolastiche ne gestisce circa un centinaio, di conseguenza la profondità della violazione e la quantità di sistemi eventualmente compromessi potrebbe fare grandissima differenza. E’ lapalissiano come una violazione dei dati di 7 mila minori sia grave, ma se fossero 70 o 100 mila sarebbe un incubo.

La valutazione dell’impatto di un incidente è un continuo “work in progress” che può richiedere una quantità di tempo non trascurabile, spesso purtroppo incompatibile con la tutela dei diritti delle persone. Le organizzazioni vittime tendono naturalmente a minimizzare, ma spesso, quando finalmente hanno chiara l’entità del danno, è troppo tardi. Difficile trovare il punto di equilibrio tra un pericoloso allarmismo e una nefasta sottovalutazione del rischio. A questo aggiungiamo un ulteriore ritardo determinato dall’attuale difficoltà delle aziende di scoprire in tempi rapidi l’accadimento.

Secondo un recente report di Crowdstrike, il tempo medio per rilevare un incidente di sicurezza informatica è di 146 ore, poi ne occorrono altre 7 per analizzarlo e 12 per bloccarlo. Aggiungete parecchio altro tempo per capirne la portata. Diciamo che quelli molto bravi ci mettono tra i 7 e i 10 giorni, lavorando 24 ore su 24, per farsi il quadro della situazione. Nella società dell’informazione significa una vita. Aggiungo un dettaglio: il tempo medio che i criminali impiegano per muoversi all’interno dei sistemi è di 92 minuti.