A distanza di qualche mese dall’entrata in vigore della NIS 2 si continuano a riscontrare carenze di sicurezza in molti settori commerciali che sono impattati dalla Direttiva europea e non solo; la situazione è nota ma continua ad esser grave e talvolta coinvolge anche gli apparati istituzionali.
Cosa sta accadendo
Che non sarebbe bastata la Direttiva NIS 2 a risolvere i problemi di cybersecurity dell’Italia era chiaro a tutti e immagino che nessuno sperasse in obiettivo così ardito. Tuttavia è abbastanza disarmante continuare a vedere data breach nei quali vengono esposti dati personali (talvolta di categoria particolare) con davvero poco riguardo.
Sta accadendo, quindi, che le circolari, le direttive, i decreti, le agenzie, le autorità, si susseguono ma non sta sostanzialmente cambiando il modo in cui vengono gestiti i dati. Nessuna delle azioni sopra riportate, infatti, sembra instillare la giusta “cultura del dato” all’interno di alcune aziende che si pavoneggiano con siti web degni di uno stilista, ma che all’intero gestiscono i dati in modo vergognoso. Iniziamo da alcuni casi di aziende private.
Il caso della vigilanza privata
Uno dei recenti casi riguarda il settore della vigilanza privata che svolge molti tipi di attività: dalla pattuglia mediante agenti, alla videosorveglianza remota dei luoghi da proteggere; quest’ultimo caso è di particolare interesse. Spesso questi soggetti detengono le credenziali di accesso ai sistemi di videosorveglianza di centinaia di clienti, in modo assolutamente non sicuro. Una tipologia frequente è la seguente:
| Cliente | IP | Username | Password | Tipo di accesso |
|---|---|---|---|---|
| Mario Rossi | ██████:80 | admin | admin | Browser |
| Giulia Bianchi | ██████:80 | admin | password | DSS |
| Farmacia Neri | ██████:9001 | farmacia | neri | Browser |
| Centro Commerciale Neri | ██████:513 | centro | commerciale | Browser |
Dalle dichiarazioni eseguite da parte degli hacker, dalle attività ispettive compiute all’interno di alcune di queste aziende, dall’analisi dei data breach subiti, ciò che appare evidente è una duplice responsabilità:
- Da un lato c’è l’incompetenza di chi raccoglie questi dati, spesso all’interno di un file Excel senza alcuna protezione all’accesso. Senza la minima preoccupazione che questo possa essere sottratto o che qualcuno possa aver accesso illecito a tali dati.
- Dall’altro c’è la completa incuria di chi espone il segnale delle telecamere su porte come la “80” e con credenziali ridicole come quelle riportate nella tabella.
L’esempio in tabella è chiaramente artefatto ma è identico, per complessità, a quelli rilevati nei data breach, pertanto l’esempio è calzante e anche piuttosto spaventoso.
Il caso del trasporto valori
Nel 2022, durante un vulnerability assessment, si scopre una falla nel sistema di tracciamento veicoli di una società incaricata di eseguire il trasporto valori. La società aveva esposto su internet l’intero portale di tracciamento, con credenziali simili a queste:
Username: admin
Password: admin1
L’accesso al sistema permetteva di tracciare ogni singolo veicolo in tempo reale, con informazioni su posizione, velocità, quantità di benzina, fermate eseguite, e una serie ulteriori di dati. Durante il vulnerability assessment si scoprì che tale sistema era, sostanzialmente, non protetto e consentiva, tra l’altro di inviare messaggi agli smartphone dei guidatori del mezzo blindato, con l’eventuale possibilità di cambiare il percorso. L’esperimento fu fatto e riuscì perfettamente.
URG.RIT.
RIENTRO ANTICIP.
12:00AM
DST: MELZO
DST: GIOIELL.*******
DST: VIA ******
Seguivano sintetici dettagli sulla consegna del materiale. All’arrivo del furgone portavalori alla via indicata, la gioielleria non era presente e la strada era senza uscita. Non c’era stata nessuna richiesta di conferma da parte degli agenti nel mezzo, si erano semplicemente limitati ad eseguire quanto richiesto. Durante una normale intervista “post-incidente”, gli agenti spiegarono di essersi fidati del messaggio poiché proveniva dal canale ufficiale di comunicazione.
Il caso istituzionale dell’ACN
Discorso diverso, ma pur sempre indicativo, è quello che sta riguardando in queste ore l’Agenzia di Cybersicurezza Nazionale. Se l’idea di base è che la cultura del dato manchi a molti “utenti finali”, è bene considerare che talvolta può mancare anche alle istituzioni. In queste ore Andrea Mavilla, ricercatore in campo cybersecurity, è stato richiamato da “Il Fatto Quotidiano” in un articolo “Numeri istituzionali online, l’informatico Mavilla: Io li ho avvisati, ma per loro è solo una bufala“. Mavilla aveva da subito segnalato su LinkedIn, al canale ufficiale di ACN, la presenza di un database che avrebbe contenuto numeri di numerosi personaggi pubblici anche della sfera politica (tra cui il numero privato del Presidente della Repubblica Sergio Mattarella). La risposta ottenuta da ACN riportata da Il Fatto Quotidiano è stata la seguente: “Per noi non c’è alcun database. Esistono canali ufficiali per comunicare Nel caso, valuteremo.” Il problema è che la risposta reale, quella pubblicata su LInkedIn, per certi versi è anche peggiore.
Se da una parte è vero che la comunicazione di Mavilla perveniva a mezzo di canale non ufficiale, però è altrettanto vero che un’affermazione di quel tipo non poteva esser gestita con un “Nel caso valuteremo”, che sta a significare che prima avrebbe dovuto ripetere la segnalazione e poi, forse, avrebbero valutato. Ecco, la notizia era vera e l’ha verificata un giornale al posto che l’Agenzia per la Cybersicurezza Nazionale e ora sono stati aperti fascicoli da parte della procura.
Il post originale di Mavilla era un commento e la risposta di ACN era un tantino più grave, i quanto escludeva qualsivoglia possibilità di valutazione.
Di seguito si riporta tutto lo scambio tra Mavilla e l’ACN, incluse le risposte istituzionali dell’Agenzia.
[Mavilla]: Ma se vi dicessi che tutti i vostri dati sono online mi credereste? Nomi e Cognomi dei dipendenti con relative e-Mail istituzionali e personali seguiti da numeri mobili e fissi.
[ACN]: Andrea Mavilla no.
[Mavilla]: Agenzia per la Cybersicurezza Nazionale , Potrei iniziare dalla Dott.ssa Roberta Raso e arrivare fino al centralinista. Ho già scritto alla Dott.ssa Raso inviando l'elenco completo. Provate a chiedere. 😜
[ACN]: Andrea Mavilla grazie, allora faccia lo stesso con il capo della comunicazione.
[Mavilla]: Agenzia per la Cybersicurezza Nazionale, Ho scritto oltre a Bruno F
[ACN]: Bah, a noi pare una bufala. saluti
[Mavilla]: Agenzia per la Cybersicurezza Nazionale,Il mio intento non è creare polemiche, ma segnalare un problema reale. Potrei pubblicare l'intero elenco dei vostri dati, ma invece di un riconoscimento per avervi avvisato, rischierei una denuncia per diffusione di informazioni sensibili o protette. Tuttavia, la vera responsabilità ricade su chi non è riuscito a proteggerli adeguatamente. Se desiderate approfondire la questione, potete scrivermi un’email e vi risponderò volentieri. In alternativa, potete verificare con le persone presenti nell’elenco che vi ho mostrato, nel quale ho volutamente lasciato solo l’iniziale del cognome.
La risposta iniziale di ACN (“no”) e la successiva (“grazie, allora faccia lo stesso con il capo della comunicazione”) denotano la qualità dell’interazione dell’Agenzia Governativa, davanti ad un cittadino che sta dichiarando di avere potenzialmente per le mani un database a dir poco delicato. Tra l’altro lo sta dichiarando per scritto e nel pieno delle sue responsabilità. Anche di questo si parla quando si affronta il tema della “cultura del dato”: di come un’agenzia governativa deputata alla cybersecurity, interagisce con un soggetto esterno che dichiara di avere informazioni potenzialmente rilevanti.
Quindi, davanti ad una dichiarazione scritta, su un canale non ufficiale, un cittadino fa una dichiarazione potenzialmente molto rilevante, assumendosene le responsabilità del caso, e la risposta istituzionale dell’Agenzia di Cybersicurezza Nazionale è stata:
Bah, a noi pare una bufala
Il lettore potrà valutare la levatura istituzionale della replica dell’ACN piuttosto di una risposta del tipo: Cortesemente, ci scriva i dettagli a questo indirizzo in modo da verificare al meglio quanto affermato. Cordiali saluti.
Conclusioni
In merito alle aziende private è bene chiarire che spesso la strategia adottata è nascondere l’incidente: il sottoscritto ha avuto modo di avere più confronti con dirigenti, uffici legali, responsabili di molte di queste. L’atteggiamento del “non alziamo la polvere” è comune e largamente diffuso e rappresenta, purtroppo, il comportamento più diffuso. D’altronde è anche vero che onestà, etica, rispetto e intelligenza sono caratteristiche assai poco diffuse.Sebbene le sanzioni ed i controlli sono un ottimo incentivo alla messa in regola di situazioni al limite della decenza, è pur vero che il problema più serio è che la cultura del dato è qualcosa di non imponibile.
In merito al caso che ha coinvolto l’ACN, la gravità non è solo nell’atteggiamento ma nella qualità della risposta che ha impedito una verifica formale. Gli errori sono stati due, uno di forma e uno di sostanza ed il secondo, se possibile, è ancora più grave del primo.
La cultura del dato deve essere costruita generazione dopo generazione, avendo cura di formare nuovi responsabili sensibili alla tematica e preparati tecnicamente e giuridicamente. Non si può pensare d’imporre ad un’azienda un’etica professionale che evidentemente non ha e che non vuole nemmeno avere. È quindi un problema di costruzione di una cultura che richiederà molto tempo per consolidarsi e che, nel frattempo, bisogna far rispettare con altri metodi.
Se da una parte è vero che la cultura non si può imporre, è altrettanto vero che deve essere fatta rispettare ed in questo i clienti potrebbero esercitare i loro diritti, fuggendo via da quelle aziende che maltrattano i loro dati personali o li espongono a rischiosità inutili. In tal senso il problema principale è che spesso, come mostrato precedentemente, sono gli stessi clienti a maltrattare per primi i loro dati personali. Li cedono, li espongono, li condividono, senza alcun riguardo alcuno. La formazione multidisciplinare ai rischi cibernetici è la principale tecnica con cui far emergere quella cultura che manca e che è richiesta per la gestione di servizi delicati come, ad esempio, la videosorveglianza. È un’attività complessa, di difficile erogazione perché richiede la costituzione di un team di formazione adeguato, preparato, chiaro nell’esposizione ma soprattutto coinvolgente.
Certo, tutto diventa più difficile quando a tradire tali aspettative non è il soggetto privato ma quello istituzionale. Allora lì c’è poco da fare, se non iniziare a preoccuparsi.
