ATTACCO ALLE PEC DEL GOVERNO: VIOLATI 500.000 ACCOUNT

Attacco alle Pec del Governo
Riflessioni sulle reali conseguenze del data breach subito dalle PEC del Governo italiano

Il presente contributo è stato redato dal collega e amico Avv. Diego Dimalta del Foro di Milano.

Come noto, nei giorni scorsi lo Stato italiano è stato oggetto di un attacco informatico che ha colpito il gestore unico di numerosi indirizzi di posta elettronica certificata.

La notizia è stata diffusa, con apposita conferenza stampa, dal vice direttore del DIS (Dipartimento Informazioni per la Sicurezza), Roberto Baldoni, il quale ha voluto illustrare personalmente la vicenda.
Questo attacco, sarebbe riconducibile ad una operazione di spionaggio cibernetico, probabilmente condotta da uno stato estero (anche se non è confermato).

Il numero di indirizzi mail violati pare si aggiri attorno ai 500.000. Un numero già di per sé spaventoso se si consideri che tra questi indirizzi vi sarebbero quelli di militari, cariche di governo e di almeno 9.000 magistrati.

1. COME È AVVENUTO L’ATTACCO.

L’attacco è iniziato il 10 novembre con uno “scanning” di prova del sistema dell’operatore che gestisce le PEC attaccate.
Successivamente, alle 17.15 del 12 novembre si è verificato il vero e proprio data breach con l’attacco ai sistemi dell’operatore e con l’accesso ai dati di migliaia di persone.
A seguito della breccia, il Governo ha invitato tutti i possessori di mail istituzionali riconducibili potenzialmente a quelle attaccate, a cambiare le proprie credenziali di modo da evitare utilizzi impropri di tali indirizzi di posta elettronica.

Chiaro, tale provvedimento suona un po’ come la proverbiale chiusura della stalla dopo che sono scappati i buoi, però, bisogna dirlo, anche accorgimenti così semplici potrebbero evitare ulteriori disagi e, quindi, in tal senso è condivisibile l’appello diramato.

2. RIFLESSIONI A MARGINE.

Fin qui i fatti, ma, a parere di chi scrivere è utile fare qualche riflessione.

Ora, tralasciando le valutazioni relative alla gestione del data breach, ormai care agli appassionati di GDPR (tra i quali, di sicuro, anche il sottoscritto), ritengo che sia necessario soffermarsi sullo scopo e sull’oggetto della violazione.

Come visto, sappiamo che sono stati violati circa 500.000 indirizzi di posta elettronica e che a fare questo non è stato un hacker ma un’organizzazione, forse, di portata nazionale.

Questo è un aspetto rilevante perché, come noto, è capitato più volte in passato che un gruppo hacker attaccasse un database al solo fine di dimostrare la propria bravura. Il mondo hacker del resto vive anche di queste manifestazioni di superiorità che, a volte, sono fini a se stesse e, altre volte, puntano a dimostrare la debolezza dei sistemi nell’ottica di stimolare un miglioramento.

Ora, trattandosi, secondo quanto afferma il vice direttore dei DIS, di un attacco proveniente da un’organizzazione avente, con molta probabilità, carattere nazionale, è chiaramente da escludere la finalità dimostrativa di cui sopra.

E’ invece probabile che questo attacco sia finalizzato ad accedere ai dati per leggerli, elaborarli e, infine, per utilizzarli con una qualche finalità diversa da quella per cui vennero raccolti.

Ma quale finalità potrebbe giustificare un simile atto?
È
difficile dirlo. Del resto, la tipologia di dati interessati dall’attacco è così vasta da non permettere di scartare nessuna ipotesi: individuazione di siti militari; intercettazione di comunicazioni tra persone di interesse pubblico; accesso a dati giudiziari per finalità proprie del soggetto che ha ideato il breach; accesso ai dati giudiziari di terzi per eventuali futuri ricatti ecc. ecc.

È quindi evidente la gravità di tale data breach, perché, per la prima volta sono state colpite le fondamenta stesse del nostro sistema.

A confronto, un seppure grave attacco a Facebook, apparirebbe quasi di minor rilievo in quanto capace di influire sulla vita dei singoli ma non sulla struttura portante di uno stato.

Per capirci, la differenza è come quella che c’è tra un attacco di termiti ai mobili di casa ed un attacco ai muri della casa stessa.
Le violazioni dei nostri dati presenti, ad esempio, sui social network, ci colpiscono sicuramente nell’intimo, ma mantengono salda quella che è la struttura statale. Un attacco allo stato mina invece la nostra sicurezza sin dalle sue fondamenta.

Poniamo invece che gli hacker non abbiano avuto accesso a dati di rilevanza nazionale, ma che abbiano “solamente” visionato sentenze o comunicazioni riguardanti i procedimenti gestiti dai 9.000 magistrati attaccati.

Anche in quel caso, è evidente che il problema non riguarderebbe solo i magistrati che hanno subito l’attacco, ma riguarderebbe anche i cittadini che erano, ad esempio, parti nelle cause gestite da tali magistrati.

Questo ulteriore passo apre ad infiniti scenari. Gli hacker (nell’accezione negativa del termine) potrebbero in questo modo essere venuti a conoscenza, ad esempio: di fatti di causa; di crediti vantati da parti di un giudizio; di conto correnti; di nomi e cognomi; di dati relativi a divorzi, adozioni, eredità.

Chi ha violato i sistemi potrebbe aver avuto accesso ad informazioni di centinaia di migliaia di italiani, risultando la stima di 500.000 mail violate, una stima a dir poco riduttiva.

Tutti gli italiani, o comunque una grande parte di essi, potrebbero essere coinvolti da questo che, potenzialmente, potrebbe essere il data breach più grave della nostra nazione.

3. ED ORA, COSA POSSIAMO FARE?

Beh, tornando a quanto detto più sopra, a volte i consigli semplici paiono essere anche i più efficaci.

Di certo sarebbe opportuno capire con certezza quali dati sono stati interessati da questa operazione e che tipo di attività è stata posta in essere.
Hanno solo visto i dati o li hanno anche copiati? Li hanno lasciati integri o li hanno modificati?
Rispondere a queste domande potrebbe essere già un passo avanti.
Un’altra buona idea potrebbe essere quella di cogliere l’occasione per aumentare il livello di sicurezza degli indirizzi pec, specialmente quelli di rilevanza nazionale. In tal senso, utilizzare più gestori al posto di un solo gestore, seppur più scomodo sotto il punto di vista amministrativo, risulterebbe sicuramente una scelta vincente sotto il punto di vista della sicurezza in quanto limiterebbe gli effetti di attacchi avverso il singolo gestore.

Infine, una maggiore sensibilità da parte di tutto il personale della PA al tema della protezione dati potrebbe essere sicuramente un passo importante per tutta la nazione. Sarebbe utile che tutti nella PA capissero che “privacy” e “protezione del dato” non sono solo un motivo per negare ai cittadini l’accesso ad alcune informazioni.

La protezione dei dati deve entrare nei processi decisionali e nell’organizzazione del lavoro, soprattutto nella PA.

Bisogna far capire che, ad esempio, l’invio di mail “in chiaro” contenenti i dati di cittadini, o anche semplicemente l’installazione di account PA sul proprio cellulare, potrebbero causare grandi problemi alla  comunità.
Solo se tutte le ruote dell’ingranaggio operano bene, consce della loro importanza, la macchina gira senza problemi. Se anche solo un piccolo ingranaggio è difettoso la macchina si ferma.
Del resto, come ribadito anche dal responsabile sicurezza di Microsoft in una recente tavola rotonda, al giorno d’oggi non è più da chiedersi SE ci sarà un attacco, ma QUANDO ci sarà.
Solo così possono essere limitati gli effetti dei data breach.