Questione di punti di vista

In questi giorni sono incappato in un articolo del Fatto Quotidiano a firma Flora Alfiero a proposito di una “disputa” tra il blog “Red Hot Cyber” e l’Università di Pisa in merito alla violazione dei sistemi dell’Ateneo che ha portato a un blocco dei servizi e all’esfiltrazione di circa 54 gigabyte di dati. L’oggetto del contendere è il presunto ingigantimento della situazione da parte del blog di cui sopra. Quelle che mi interessano, però, sono le dichiarazioni a corredo dell’articolo del professor Antonio Cisternino, il Chief Information Officer dell’università, ovvero colui che ha la responsabilità del funzionamento degli stessi.

Partiamo dalla prima: “Abbiamo avuto un’intromissione abbastanza contenuta dato che il down dei nostri servizi e stato di circa un’ora, un’ora e mezzo.” La capacità di contenere l’indisponibilità derivante da questo tipo di attacco merita un plauso, laddove altre organizzazioni hanno sofferto per settimane o mesi prima di riprendersi. Questo significa che chi si occupa dei sistemi è stato in grado di progettarli, governarli e gestirli può vantarsi di avere dei sistemi piuttosto resilienti (termine usato e abusato, ma questa volta adatto a descrivere la situazione).

Veniamo ora alla seconda: “I dati pubblicati sono di natura ordinaria e, sì, anche qualche documento d’identità, ma noi abbiamo agito per informare gli interessati, per tutelarli.” Sulla seconda parte lasciatemi dire che si tratta di atto dovuto, peraltro imposto dalla vigente normativa in materia. La prima, invece, è una minimizzazione fuori luogo se vista dal punto di vista della sicurezza delle informazioni: chiunque si occupi professionalmente del tema sa che la riservatezza è una delle caratteristiche imprescindibili di un’informazione sicura e l’esfiltrazione di 54 gigabyte sarebbe un incubo che si trasforma in realtà. Se poi la vediamo dal punto di vista della protezione dei dati, è sostanzialmente uno “schiaffo” a tutte quelle che sono le indicazioni delle Autorità Garanti.

In primo luogo, non esistono dati che possono essere definiti “ordinari”. Tecnicamente si puo' parlare di “dati personali” o “appartenenti a particolari categorie”. Inoltre, per valutare la gravità di una violazione, la loro natura è soltanto uno dei criteri di cui tenere conto. A questo si deve aggiungere il contesto. Una carta d’identità fornisce una serie di dati, ma il fatto che sia stata sottratta a una specifica organizzazione offre ulteriori informazioni (per esempio so dove la persona lavora o studia).

Altro elemento è la quantità e 54 gigabyte possono essere pochi o tanti a seconda della natura dei file. Aggiungiamo che si dovrebbe tenere nel giusto conto quanto le persone possono essere più facilmente identificate, abbinando ai dati esfiltrati informazioni pubblicamente reperibili. Si tratta soltanto di alcuni dei fattori, ma vi posso garantire che le riflessioni al fine di valutare un incidente sono molte e complesse, e liquidarle con un semplice “I dati pubblicati sono di natura ordinaria”, non è appropriato. La vicenda, a mio avviso, dimostra che quando si parla sicurezza dell’informazione i punti di vista contano, e per tale ragione si afferma da sempre che ci dovrebbe essere una netta separazione di ruoli tra chi si occupa di sicurezza, chi di gestione dei sistemi informatici e chi, invece, di protezione dei dati.