Attacco Ddos contro l'Inps, e non solo

Prima sono state colpite Enel e Honda, quest'ultima con un conseguente blocco della produzione; poco dopo è stato il turno di Geox che ha seguito il destino della casa automobilistica giapponese. Se dietro questi attacchi ci sia la stessa mano o lo stesso malware non è importante tanto quanto comprendere le modalità con cui sono stati perpetrati, non nuova ma purtroppo sempre più diffusa. Come spesso accade, queste vicende iniziano con il click sbagliato di un utente.

Settimana interessante con tre notizie di casa "nostra". La prima ci riporta al "caso INPS" e al disastro dei sistemi nel giorno del click day per l'erogazione del bonus da 600 euro ai lavoratori autonomi. A ritornare sul tema è l'Organismo permanente di monitoraggio e analisi sui rischi di infiltrazione nell'Economia da parte della criminalità organizzata di tipo mafioso. La struttura al cui partecipano i rappresentanti di diverse forze dell'ordine sostiene nel suo Report 2 che al disastro ha contribuito un attacco Ddos. Precisiamo che si tratta di una particolare aggressione informatica che ha l'obiettivo di rendere irraggiungibile un sistema inondandolo, con modalità diverse, di traffico illecito che impedisce agli utenti legittimi di collegarsi. Il vero tema però è quanto poi accaduto di concreto e grave, ovvero non il semplice blocco del sistema, ma la possibilità per molti utenti di avere accesso ai dati altrui.

La Rubrica: Cybersecurity Week

Il fatto che questo tipo di attività criminale possa avere "contribuito" potrebbe avere un senso, ma non è di certo la causa principale, che resta la configurazione specifica in quel momento dei sistemi stessi. In linea teorica, una serie di attacchi Ddos (l'INPS parlò di un'offensiva che durava da giorni) avrebbe potuto fare emergere immediatamente il problema dell'esposizione dei dati e forse sarebbe stato possibile intervenire sulle regole tecniche che governavano l'accesso degli utenti.

In sintesi, da qualsiasi punto di vista si voglia affrontare il tema, il ruolo avuto da presunti criminali del web non è stato decisivo.

A proposito di dati personali sottratti, l'altra notizia riguarda la vicenda Unicredit. Forse non tutti ricorderanno che tra aprile 2016 e luglio 2017 si erano verificati accessi e abusi ai sistemi dell'istituto di credito tali da portare alla violazione dei dati di oltre 700 mila clienti. Dopo una lunga istruttoria l'Autorità Garante per la Protezione dei dati ha emesso una sanzione di 600 mila euro per i "rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate".

Ancora una volta è l'Autorità Garante a mettere l'accento sull'importanza delle misure di sicurezza e sul fatto che esista una concreta possibilità di avere il "controllo" dei dati e delle informazioni. In questo senso la stessa Autorità ha chiesto al Governo di valutare l'opportunità di realizzare un cloud nazionale per assicurare un maggior controllo sulle informazioni strategiche per il nostro Paese. Quanto all'importanza del controllo è la terza notizia che ci rivela quanto esso sia essenziale.

La scorsa settimana la procura della repubblica di Roma ha portato a termine un'operazione che ha "messo le manette" a 20 persone accusate di aver diffuso dati personali procurando danno. Oltre agli ignari utenti l'altra vittima è stata TIM che, dopo avere sporto denuncia per la scoperta a partire da gennaio 2019 di una serie di accessi abusivi ai propri sistemi, la scorsa settimana ha avuto conferma di come un'organizzazione criminale, con la complicità di alcuni suoi dipendenti, aveva messo in piedi un vero e proprio traffico di dati, che avrebbe coinvolto oltre un milione e 200 mila abbonati. Le informazioni estratte dalle basi dati dell'operatore venivano fornite, tramite intermediari, a titolari di call center.

Questi contattavano i potenziali clienti per poi lucrare le commissioni sulla portabilità del numero telefonico che poteva arrivare fino a 400 euro a contratto. Il procuratore Michele Prestipino ha parlato di uno scenario "inquietante che conferma come i dati personali di migliaia di ignari cittadini sono diventati merce preziosa". Sono rimasto colpito da tre parole che sono quelle che più spesso utilizzo: inquietante (quando mi riferisco al modo in cui ci poniamo rispetto alla società dell'informazione), ignari (lo utilizzo quando parlo della maggior parte degli utenti di qualsiasi sistema informatico), preziosa (è l'aggettivo che normalmente associo all'informazione). Mi domando se un giorno potrò cambiare registro magari con una combinazione di: rassicurante, consapevole e preziosa (questo resterà per sempre).