Cloud non significa sicurezza
La Rubrica - Cybersecurity Week
Qualche giorno orsono Microsoft ha fornito una spiegazione di come un gruppo di cyber criminali vicini al governo di Pechino sarebbe riuscito a violare svariati account di posta elettronica del governo degli Stati Uniti. Come normalmente accade quando si tratta di attività di spionaggio è molto difficile avere una precisa idea dell’entità dei danni causati dall’attacco. Tuttavia, la vicenda e le spiegazioni fornite dall’azienda di Redmond offrono l’occasione per fare qualche riflessione.
Primo. L’accaduto tende a sfatare uno dei nuovi miti secondo cui i grandi operatori cloud sono in grado di garantire i più alti livelli di sicurezza. Senza dubbio possono mettere in campo controlli e contromisure importanti, ma allo stesso tempo, proprio il loro gigantismo, li rende obiettivi privilegiati: colpire realtà come Microsoft o Google significa potenzialmente avere accesso alle informazioni di milioni di organizzazioni. In altre parole: una sardina può passare inosservata, una balenottera azzurra no.
Secondo. Tra i fattori che hanno portato alla violazione c’è stato anche quello umano, perché per arrivare alle informazioni necessarie, gli attaccanti sono riusciti ad avere accesso all’account aziendale di un ingegnere dipendente di Microsoft. Per quanto si possa avere un’idea quasi mitologica dei dipendenti e collaboratori dei grandi operatori cloud, si tratta pur sempre di esseri umani con una testa, due braccia e due gambe. L’aggravante è che chiunque lavori in queste aziende è immediatamente, e per definizione, un obiettivo di qualsiasi gruppo criminale informatico.
Terzo. Da qualche anno si cerca di vendere l’autenticazione a più fattori come la panacea alla “vulnerabilità umana”. Una diceria che potrebbe rivelarsi fatale per milioni di utenti creando un senso di falsa sicurezza. L’autenticazione a più fattori, tipo quella delle banche tanto per intenderci, offre senza dubbio una maggiore protezione rispetto alla semplice combinazione di username e password, ma non è una certezza, e proprio il caso Microsoft lo dimostra. Esistono malware che sono in grado di catturare le informazioni che servono a bypassare questi sistemi.
Quindi non possiamo permetterci il lusso di spegnere il cervello soltanto perché abbiamo una password in più, e non possiamo pensare che la sicurezza dei nostri dati e sistemi sia un problema di “qualcun altro".
