Sicurezza ICT: cosa abbiamo imparato dal 2021?

Indice

È iniziato il 2022 e sarebbe opportuno dare uno sguardo a quanto successo nell’anno precedente per comprendere quale siano stati le problematiche più rilevanti in ambito ICT.

Ransomware

Una delle minacce più persistenti degli ultimi anni e che sta creando problemi all’ambito pubblico tanto quanto al privato. Negli ultimi 4 anni abbiamo monitorato i casi di infezione ransomware pubblicamente denunciati e abbiamo esaminato le risultanze degli attacchi. In Italia gli attacchi si stanno concentrando, non a caso, sulle regioni più ricche.

La prima cosa da chiarire è che un ransomware è un virus che chiede un riscatto e non un virus che cifra i dati. Durante alcune interviste ai target, c'è stato modo di capire che c'è ancora confusione su questo concetto: esistono ransomware che non cifrano i dati bensì li cancellano, poiché la procedura è più rapida e semplice da attuare. È quanto è successo con il caso della Regione Lazio. Bisogna quindi distinguere tra: tipologia di minaccia e modalità operativa con cui la minaccia agisce.

C'è ancora molta confusione in merito alle attività necessarie per reagire alle minacce ransomware: software e hardware sono validi supporti ma non possono sostituire una buona strategia di gestione dei dati!

Sicurezza e P.A.

Permane una generica inconsapevolezza nei confronti del corretto trattamento dei dati personali: c'è ancora confusione su terminologie adottate nel GDPR tra cui by design e by default oppure accountability. Questo denota che l'introduzione di terminologie straniere nel contesto normativo italiano, per quanto possa considerarsi un processo fisiologico, deve essere al contempo considerata una procedura straordinaria.Prediligere la lingua italiana non è un campanilismo, bensì ha lo scopo di rendere il contenuto ed i concetti più accessibili a tutti.

Nell'ambito pubblico persiste un diffuso disinteresse verso documenti e procedure importanti tra cui l'implementazione del CAD, la Circolare AgID 2/2017, le Linee Guida AgID in merito alla "Formazione, Gestione e Conservazione dei Documenti Informatici". L'inosservanza di questi regolamenti, di queste circolari, di queste linee guida è alla base del successo di molti databreach avvenuti nel corso del 2021. Se questi documenti fossero stati osservati e applicati, ci sarebbe stata certamente una riduzione delle conseguenze dei data breach.

Consapevolezza del dato

Il più grande sforzo profuso dal Garante della Privacy è stato quello di aumentare la consapevolezza degli utenti in merito al trattamento dei propri dati. Non sempre questa consapevolezza si riscontra all'interno dei contesti esaminati, indipendentemente se questi siano pubblici o privati. Nel 2021 l'attacco alla SIAE portò il Direttore Generale Gaetano Blandini a fare un annuncio trasmesso da un TG nel quale dichiarò:

Per fortuna non sembrerebbero esserci (tra i dati rubati) dati economici […] ma solo dati anagrafici relativi a carte di identità o cose de genere

Gaetano Blandini - Direttore Generale SIAE - 2021

Quel "SOLO", ad indicare qualcosa di poco conto, fece indignare molti giuristi e molte testate editoriali (RedHotCyber tanto per citarne una). È un chiaro esempio di come sia poco marcata la consapevolezza sull'importanza dei dati personali.

Soluzioni

Formazione attiva

L'unica vera ricetta per migliorare lo stato di sicurezza e gestione ottimale dei dati continua ad essere la formazione. Ovviamente una formazione fatta adeguatamente, aggiornata, fatta da personale competente e multidisciplinare in modo che l'utente possa avere una visione a 360° del problema e delle soluzioni da approntare. La formazione deve essere sempre molto pratica, perchè le nozioni da sole possono risultare indigeste.

Cultura e risorse

L'utente deve cambiare il suo modo di pensare i sistemi e la gestione dei dati e delle informazioni. In alcuni contesti è stato fatto un parallelismo con la raccolta differenziata che all'inizio ci ha trovati tutti impreparati ma che con il tempo è divenuta invece una routine molto importante.

Sono aumentate anche le risorse gratuite per permettere agli utenti di effettuare assessment di sicurezza o di analisi dei rischi: risorse che possono essere trovate sul portale del Garante della Privacy, ad esempio. Tutto questo ha la finalità di accrescere la sensibilità degli utenti sul tema, per non lasciarli "sguarniti" di conoscenze nel momento del bisogno.

Strategia

Serve una strategia per uscire fuori da un databreach in modo appropriato. Niente è improvvisato, buttato al caso o supportato esclusivamente dalla fortuna. Avere una strategia è imperativo e nel 2021 ci sono stati casi di eccellenza nella gestione dei data breach tra cui quello di Axios Italia. Studiare una strategia è imperativo per la corretta gestione dei dati e la risposta agli incidenti informatici.