Attacco, saccheggio, divulgazione, e ovviamente migliaia di dati violati. Per le PA è stata una settimana nera, d’assedio, pullulante di Data Breach.
Dal 29 ottobre al 5 novembre, i pirati di Anonymous, in collaborazione con Lulz Security ITA e AntiSecurity ITA, hanno fatto letteralmente ciò che volevano: massima libertà e massimo campo d’azione.
Hanno varcato impunemente le barriere dei sistemi operativi, scoperchiato asset che dovevano essere blindatissimi, trafugato dati riservati e, infine, dato tutto in pasto al web.
Università, Comuni e Regioni sono state le istituzioni più colpite.
Regioni e Comuni: troppi sistemi violati dopo l’entrata in vigore del GDPR
Ad una crescente attenzione mediatica sul GDPR, esplosa negli ultimi mesi, non corrisponde ancora una protezione effettiva dei dati personali. È evidente. Alla luce degli studi pubblicati in questi mesi e soprattutto dal selvaggio saccheggio di dati compiuto da Anonymous la scorsa settimana.
Le pubbliche amministrazioni, come molte aziende, non hanno sistemi adeguati. Le falle risultano un po’ ovunque. Dalle Regioni ai piccoli Comuni. Passando per le Università.
Tra le istituzioni violate, bersaglio dell'operazione di hacking denominata "Settimana Nera", ci sono il Comune di Palermo, la provincia di Arezzo e il Consiglio Regionale della Sardegna. Quest’ultimo particolarmente colpito. Al momento sono ancora in circolazione alcuni dati di un centinaio di consiglieri tra cui anche l’attuale governatore Francesco Pigliaru e il suo predecessore Ugo Cappellacci.
Non sono stati risparmiati nemmeno i comuni più piccoli. Tra questi ci sono Sparanise, Neirone, Rieti e Massa-Carrara che occorre dirlo, hanno subito attacchi decisamente più blandi.
Il motivo? L’indulgenza degli hacker che, “sensibili” alle accuse ricevute dopo i primi attacchi della settimana, hanno deciso di non esagerare limitandosi a varcare i confini dei sistemi, rubare alcuni dati ma senza infliggere il colpo di grazia, ovvero decifrare le password (protette dagli algoritmi di oscuramento) di cui sono entrati in possesso.
Infine, da Sud a Nord, è stato un esplodere di data breach, all’interno delle Università. Tra le principali coinvolte abbiamo: Dipartimento di Ingegneria Informatica dell’Università di Roma, Dipartimento di Fisica e Geologia dell’Università Perugia e Università degli Studi Magna Grecia di Catanzaro.
Il commento del Garante sugli attacchi informatici
Di fronte a questa epidemia di furti di dati in balia di venti anarchici e inarrestabili, il Garante non ha potuto far mancare il proprio intervento.
"La vulnerabilità dimostrata da diverse amministrazioni pubbliche in questi giorni è frutto di molti fattori - spiega Antonello Soro, ma, soprattutto, delle modalità con le quali il processo di digitalizzazione si è sviluppato nel nostro Paese, in assenza di un piano organico e di investimenti adeguati, tanto sotto il profilo tecnologico quanto riguardo al fattore umano.
Per rafforzare i confini digitali del Paese è necessaria una strategia di lungo periodo che vada oltre la mera infrastrutturazione e razionalizzi il patrimonio informativo pubblico, in particolare secondo principi di privacy by design, per ridurre la superficie d’attacco, assumendo la resilienza informatica e la protezione dei dati, quali obiettivi centrali dell'azione di Governo".
Fattore tecnologico e umano per rafforzare il GDPR
Come accenna il Garante per la protezione dei dati personali, il fattore tecnologico e umano risultano elementi fondamentali per la sicurezza dei dati e un’applicazione vincente del GDPR.
Infatti, come abbiamo già ripetuto su questo blog, è fondamentale che aziende e PA si muniscano, dalla posta elettronica alla collocazione dei server, dai servizi di backup e recovery, di infrastrutture tecnologiche all’avanguardia.
Occorre liberarsi degli asset più obsoleti e sostituirli con dispositivi più aggiornati, capaci di fornire reale protezione ai dati raccolti e trattati, o almeno di limitare fughe di informazioni che possono scaturire da strumenti non idonei.
Questo è solo un aspetto. Altro elemento in grado di fare la differenza è quello relativo al fattore umano o, sfoderando un termine più tecnico, alla security awareness.
In ogni organizzazione, che sia un’azienda o una Pubblica Amministrazione, occorre portare avanti un profondo lavoro di formazione per responsabilizzare i dipendenti a qualsiasi livello gerarchico, nella gestione di un patrimonio informativo totalmente digitalizzato.
Conoscere le conseguenze che scaturiscono da un’azione errata, permette di limitare la maggior parte delle minacce interne dovute dall’inconsapevolezza nel compierle. E allo stato attuale la consapevolezza è ancora troppo poco diffusa.
Che tu sia una piccola azienda o una Pubblica Amministrazione non è mai troppo tardi per rivedere e rafforzare le tue politiche in materia di Data Protection, sia dal punto di vista dell’approccio tecnologico che di quello umano e concernente la formazione dei dipendenti.
Quindi non esitare a contattarci. Se hai bisogno di aiuto, ci siamo.