DK9x07 - Il giro di vite
Ultimamente fanno a gara a chi viola più banche dati. Impiegati, infedeli, hackerozzi al soldo di investigatori privati, e via cantando. Dice il Garante Privacy che ora ci sarà un giro di vite. A proposito, che dice l'Agenzia per la Cybersicurezza-con-la-ipsilon nazionale?
Ascolta l'episodio su Spreaker.com
Dice il Garante Privacy, Stanzione, che dopo la débacle dell'hacker con la ditta di investigazioni intorno (Equalize, si chiama) ci sarà un giro di vite sui database della PA.
Dice l'Agenzia per la Cybersicurezza-con-la-y Nazionale che loro non sono stati compromessi, e che respingono ogni illazione.
Dice il responsabile comunicazione della Agenzia per la Cybersicurezza-con-la-y Nazionale che la Agenzia per la Cybersicurezza-con-la-y Nazionale
fa diverse cose, ma non fa tutto. Non fa contrasto al cybercrime, che è compito della Polizia, non fa intelligence, non fa protezione di strutture militari.
L'ACN si occupa di hashtag#resilienza e protezione cibernetica delle infrastrutture critiche nazionali. Protegge i soggetti sotto il Perimetro nazionale di sicurezza cibernetica secondo le modalità previste dalla legge e poi i soggetti Nis, e altri soggetti di rilevanza costituzionale.
Quindi circolare, gente, non c'è niente da vedere.
Sigla.
Avrete seguito tutti, e meglio di me, il cosiddetto datagate, le prodezze dell'hacker con l'agenzia di investigazioni intorno, che fra le altre cose avrebbe esfiltrato i dati di qualcosa come ottocentomila italiani dal SDI, Serpico, SIVA, e altri database in uso alle forze dell'ordine.
Ora. La Agenzia per la Cybersicurezza-con-la-y Nazionale ci fa velatamente sapere che si chiama fuori, perché loro proteggono solo i soggetti nel Perimetro di Sicurezza Nazionale.
Dalla qual cosa si evincerebbe allora che i database delle forze dell'Ordine non sarebbero all'interno del perimetro di sicurezza nazionale, plausibilmente perché sarebbero strutture militari? Chiedo per un amico, perché l'ultima volta che ho controllato, la Polizia non rispondeva al Ministro della Difesa.
Trovo incredibile come, ogni volta che c'è una compromissione di dati pubblici, miracolosamente nessuno è responsabile.
Considerando che sono stati bucati ospedali, comuni, provincie, e adesso pure il database creato apposta per condividere informazioni fra polizie, carabinieri, e guardia di finanza, il ricambio ai vertici dei datacenter dovrebbe essere vertiginoso. Invece no.
Se l'hacker cattivo trova un buco, la colpa non è mai di chi il buco non avrebbe dovuto lasciarlo. Addirittura ho letto che in alcuni casi sotto indagine, i cattivi sono riusciti a guadagnare accessi installando dei trojan sui computer di qualche impiegato.
E come hanno fatto, uno si chiede? Semplice, hanno lasciato in giro una bella chiavetta USB tutta scintillante e hanno aspettato che passasse uno abbastanza pirla da raccoglierla e infilarla nel computer dell'ufficio.
Una cosa che farebbero soltanto i russi maschi nei film di Hollywood, perché per le femmine bastano i soliti collant.
Sarebbe perfino facile prendersela con la Pubblica Amministrazione, senonché dalle cronache non sono ancora scomparse le vari migliaia di accessi abusivi a conti correnti di potenti, ricchi, famosi e meno famosi;
a riprova che, se la sicurezza dei database pubblici è affidata a dei gattini pucciosi, quella dei database bancari è garantita dai coniglietti pasquali.
In questo panorama di pucciosità suicida svetta l'excusatio non pætita della Agenzia per la Cybersicurezza-con-la-y Nazionale che ci tiene a farci sapere che il problema non è suo.
Quindi aspettiamo quando il problema sarà suo. E aspettiamo fiduciosi.
Finora, nel privato e nel pubblico, abbiamo visto l'assenza non dico di cultura, ma di qualsiasi nozione di base di cibersicurezza:
- assenza di qualsiasi controllo degli accessi, per cui basta sottrarre una password a fai quel che vuoi
- mancanza completa di compartimentalizzazione, quindi una volta nel sistema puoi andare dovunque
- database senza trigger su record sensibili, e quindi accedere al conto corrente del presidente del consiglio o a quello di mario rossi suscitano gli stessi sbadigli
- assenza di consapevolezza sulle tecniche di social engineering
e via cantando.
Ora, quanti dirigenti con incarico alla cybersecurity sono saltati? Quanti di quelli che li hanno messi lì sono stati gentilmente allontanati?
Nel pubblico e nel privato, nessuno che mi risulti. E il garante Privacy, invece andare in modalità Berserker e fare un po' di repulisti, annuncia il "giro di vite".
Mecojoni, proprio. I nostri dati stanno in cassaforti di pongo, ma adesso arriva il garante privacy a stringere le viti.
Dicevamo, che aspettiamo con fiducia quando il problema toccherà la Agenzia per la Cybersicurezza-con-la-y Nazionale, che ci tiene a farci sapere che su tutto quello che è successo lei non ha giurisdizione.
Va bene. Non mi è chiaro a cosa servano una Agenzia per la Cybersicurezza-con-la-y Nazionale e un perimetro nazionale di sicurezza cibernetica che non includono banche e database della polizia, ma è ovviamente la mia limitata visione strategica.
Visione che invece non manca al Generale Umberto Rapetto, quello che alle forze dell'ordine la cybersecurity e la lotta alle truffe telematiche gliele ha insegnate e che quindi è stato prontamente dimissionato quando ha fatto multare per 98 miliardi di euro di tasse non versate (poi utilmente ridotti a 2,5) certe società concessionarie di slot machine che si dimenticavano di connetterle alla rete telematica dell'Erario, contando evidentemente sulle amicizie giuste.
Secondo Rapetto, cito, "con un'Agenzia così lo scandalo del furto dei dati era inevitabile". O bella, e come mai? Eppure la Agenzia per la Cybersicurezza-con-la-y Nazionale, ci ricorda Rapetto,
è una qualificatissima struttura a presidio di certi specifici rischi [...] il fior fiore delle risorse che il Paese è in grado di esprimere e che giustamente sono remunerate con la retribuzione identica alla Banca d’Italia per poter assicurare la giusta proporzione tra altissima professionalità e stipendio.
Il come mai è presto detto: nepotismo e favori,
la moglie del senatore esperta di mansioni segretariali, la figlia dell’alto magistrato a capo di una tra le più importanti Procure, la moglie dell’ex Prefetto, il cognato della parlamentare che si adopera per il mantenimento dell’attuale retribuzione per chi poi rientra nell’amministrazione di appartenenza…
E come se non bastasse, la Agenzia per la Cybersicurezza-con-la-y Nazionale non è immune nemmeno da una certa dirigentite, malattia endemica nella nostra PA quanto il nepotismo. Sentite sempre Rapetto.
Su circa 300 persone attualmente in servizio, oltre metà (ossia 170) hanno funzioni dirigenziali [...] Tra loro ci sono 9 direttori centrali che guadagnano ognuno 240mila euro l’anno e - non bastasse - esiste pure uno staff di grand commis “in parcheggio” (tra cui l’ex direttore generale della stessa Agenzia e l’ex numero uno del Dis) di cui non è chiaro l’impiego, visto che sembrerebbero senza incarico.
Io nella mia innocenza ero convinto che i direttori centrali esistessero solo nei film di Fantozzi.
Ma d'altra parte ero anche convinto che la Agenzia per la Cybersicurezza-con-la-y Nazionale si dovesse occupare, tipo, di cybersicurezza nazionale.
E nei miei deliri credevo perfino che di fronte a una débacle di queste proporzioni il Garante Privacy avrebbe magari potuto togliere dalla naftalina la spina dorsale che di solito conserva per le feste comandate. Non fosse altro che per tutelare i dipendenti di Barilla e ERG Petroli spiati dalle loro stesse aziende.
Invece no.
Eh, tocca ricredermi. E aspettare con fiducia che le viti nelle cassaforti di pongo vengano strette per benino.
