Data base groviera? Il piano di cybersicurezza

Il sistema informatico del Viminale è stato violato per 52mila volte e sono stati rubati 800mila file con informazioni riservate. Ora quel materiale è in pasto ai pirati del dark web e fermare l’emorragia di dati non sarà immediato. Ma gli hacker come hanno potuto bucare quello che dovrebbe essere uno dei sistemi più blindati e protetti del paese? Hanno saccheggiato di tutto: i database dei ministeri, di Eni, degli enti pubblici, persino la mail del presidente della Repubblica Sergio Mattarella. E ciò che terrorizza è che lo hanno fatto utilizzano un semplice malware, un virus informatico acquistato su internet a meno di 100 euro. “Potremmo sp…..are tutta Italia” minacciano i ladri di dati.

Le nostre mail

Cosa vuol dire? Sono a rischio anche i nostri dati? Le nostre mail, i nostri conti in banca? “Assolutamente no – ci rassicura Alvise Biffi, ceo di SecureNetwork, parte di Bv Tech – Di fatto la storia dei dossieraggi non racconta di falle informatiche ma di persone che sono entrate nei sistemi legittimamente, avendo l’accesso a quelle informazioni. Però ne hanno fatto un uso improprio, trafugando le informazioni e rivendendole nel black market. È evidente che sia urgente cambiare le regole della cybersicurezza. Occorre una segmentazione delle informazioni per ridurre al minimo le fughe di notizie”. E gli atti di disonestà.

Attacchi in aumento

Per violare un data base e rubare i nostri dati basta uno spazzolino da denti elettrico, un condizionatore. Un qualunque dispositivo dia accesso al nostro micro mondo informatico. E così per le aziende: un impianto automatizzato, un macchinario collegato ai computer.

Secondo la Relazione Annuale al Parlamento dell’Agenzia per la Cybersicurezza nazionale (ACN), nel 2023 in Italia c’è stato un significativo incremento delle segnalazioni di attacchi: gli incidenti rilevanti sono aumentati del 140%. Più di 3.300 i bersagli, il doppio dell’anno precedente. Telecomunicazioni e pubblica amministrazione i settori più colpiti. È accaduto di tutto, compresi i ricatti alle piccole e medie aziende: “Ti blocchiamo impianti e computer se non paghi”.

Come difenderci

Entro febbraio 50-60mila aziende dovranno registrarsi sul portale dell’Agenzia nazionale della cybersicurezza e cominceranno il loro percorso per irrobustire i filtri anti hacker loro e della filiera in cui lavorano. I risultati si vedranno nel 2026 che, in termini di evoluzione informatica, equivale a dire dopodomani. Ci sono vari strumenti per proteggere i dati ed evitare infiltrazioni nei sistemi informatici. Il NIS 2 (Network and Information Security 2) ha sostituito il NIS 1: è entrato in vigore il 17 gennaio 2023 ed è stato recepito un paio di settimane fa. Ha l’obiettivo di rafforzare le misure di sicurezza soprattutto nei settori critici.

C’è poi il DORA (Digital Operational Resilience Act), entrato in vigore il 16 gennaio 2023 e vincolante a partire dal prossimo gennaio. Mira a consolidare la sicurezza operativa digitale nel settore finanziario. A livello italiano è stata definita la Strategia Nazionale di Cybersicurezza, progettata per programmare, organizzare e mettere in pratica interventi che mirano a incrementare la sicurezza e resilienza del Paese. La Strategia è volta a realizzare 82 azioni entro il 2026 e si pone tre obiettivi: favorire una transizione digitale resiliente; rispondere alle minacce e alle crisi cyber nazionali con sistemi di monitoraggio, rilevamento e analisi; sostenere attività di ricerca e imprese.
Per sostenere l’attuazione della Strategia Nazionale di Cybersicurezza è stato istituito uno specifico fondo che prevede 420 milioni di euro l’anno per rafforzare la difesa dei sistemi informativi delle amministrazioni pubbliche e garantire l’indipendenza tecnologica; a questo si aggiunge il fondo per la gestione che raggiungerà i 70 milioni di euro nel 2026

I test

La battaglia informatica è tutt’altro che invisibile. Le squadre di “hacker buoni” sono al lavoro per rendere sicuri i prodotti tecnologici in commercio (frigoriferi intelligenti, dispositivi di domotica) ma anche ecografi ospedalieri, software di aziende di trasporto, aeroporti, compagnie telefoniche. Tutto ciò, insomma, che è in grado di memorizzare le nostre mail, i nostri numeri di cellulare, le nostre password, i nostri iban. E hai detto niente. Si nascondono in bunker blindatissimi e poco pubblicizzati, spesso nascosti in edifici grigi e anonimi. Fanno simulazioni di ogni tipo: ad esempio, cercano di spiare dati e cartelle cliniche entrando nei computer collegati alle tac degli ospedali. Scoprono dove sono le falle informatiche e le ‘tappano’.

Siamo ancora al livello in cui gli hackeraggi fanno leva sulle nostre debolezze quotidiane. E ci fregano: basta una mail inviata da un finto corriere dopo l’ordine on line di un pacco ed ecco che al telefono comunichiamo indirizzo, dati, orari personali. Spesso anche l’iban.

Ingenui. Teniamo presente che il nemico numero uno della nostra privacy siamo noi stessi: per gli acquisti on line, per le password obsolete e inserite ovunque, per la noncuranza con cui ci esponiamo sui social e non solo.