mercoledì 26 giugno 2019
Un analisi di Alessandro Papini - Presidente Accademia Italiana Privacy
Ci risiamo.
Ha ragione il segretario generale del Garante per la protezione dei dati a dire che c'è un evidente calo di attenzione sui temi della privacy. Come sempre il gruppo di Hacktivisti LulzSecITA, costola di Anonymous ci ha fatto vedere che la realtà è proprio questa. Infatti nel loro profilo twitter in queste ore è apparsa la comunicazione di un altra visita a Csamed, il gigante che gestisce l'albo clienti e fornitori più importante di Italia.
La cosa che spaventa e che indigna è che, come dichiarato da LulzSecITA:
"I dati che custodiva e che custodisce tutt'ora questa azienda, insieme a Net4Market (software di e-procurement per gestire telematicamente le fasi di approvvigionamento. Include servizi dedicati ai fornitori) e AlboFornitori (un punto d'incontro tra domanda e offerta negli acquisti on-line della Pubblica Amministrazione), sono stati resi pubblici da noi nel mese passato, e per quel che sappiamo, nonostante la violazione, CSAmed non ha comunicato nulla a nessuno, riguardante il breach.
Quanto accaduto, in termini di legge e di previsioni del GDPR si sarebbe dovuto comunicare al Garante della Privacy, comunicando l'evento a tutti i loro utenti con l'invito a cambiare password per quanto successo.
Cose ovviamente, come già detto, che CSAmed non ha assolutamente fatto, dal momento che noi, siamo qui, ANCORA! La loro preoccupazione maggiore è stata quella di bloccarci su twitter e di far cancellare il downloads dei file.
Abbiamo navigato per settimane nei loro server, abbiamo visionato e scaricato tutti i loro documenti, abbiamo potuto vedere le spese di tutti i loro clienti/fornitori."
Il gruppo di Hacktivisti ha concluso rilasciando tutti gli user e le password per accedere da amministratore in tutti i suoi database.
Preoccupa e indigna dicevamo, perchè da un lato non è stato fatto niente per correggere i bug del portale e dall'altro non ci risultano comunicazioni di data breach e neanche comunicazioni agli interessati. Ha ragione il Segretario del Garante, dopo una buona partenza (almeno un buon 25% delle aziende in Italia hanno iniziato a cambiare mentalità sulla protezione dei dati nell'arco dei mesi) si è verificato un calo di attenzione.
Questa grave situazione va combattuta su due fronti:
da una parte il Garante deve iniziare ad elevare sanzioni serie (la sanzione di un data breach come quello di Csamed potrebbe essere di buon esempio per tutte le realtà italiana);
dall'altra le aziende devono capire che gli Amministratori di Rete vanno pagati adeguatamente perchè custodiscono i datiche sono il bene più prezioso che possediamo e per questo motivo oggetto di frequenti rapine. Non è possibile continuare a pagare un Amministratore di rete come un riparatore di pc, non è tollerabile che l'azienda non paghi almeno 4 corsi di aggiornamento all'anno sui sistemi di sicurezza e sui linguaggi di programmazione.
Potrà rimanere sullo stomaco a molti ma LulzSecITA sta scoprendo delle falle enormi in giro per la rete e, da questo punto di vista, da la possibilità di porvi rimedio prima che i dati entrino in possesso di mani sbagliate. E' giusto spiegare che la differenza tra LulzSecITA, Anonymous e i cyber criminali è notevole: i primi due lavorano per far vedere le vulnerabilità e per fare emergere la verità, mentre i cyber criminali si muovono per denaro, per estorcere o per chiedere riscatti in cambio della non divulgazione dei dati rubati. Si, è vero, i mezzi che usano sia gli uni che gli altri non sono leciti ma il fine è assai diverso, questo almeno va riconosciuto.
Il mese scorso fecero visita anche a noi, ma ci dettero modo di risolvere una falla e rendere un pochino più sicuro il nostro sito.
Adesso ognuno faccia la sua parte!
Alessandro Papini - Presidente Accademia Italiana Privacy