Nei giorni scorsi ha avuto ampio risalto la notizia dell’accusa rivolta ai fratelli Giulio e Francesca Maria Occhionero di aver violato la posta elettronica di ben 6mila persone addirittura dal 2004 per un volume di oltre 3 milioni di mail sottratte. Come sempre anche queste nuove accuse andranno dimostrate e le responsabilità accertate, ma la cosa che interessa di più è capire come sia successo e quali sistemi siano approntabili per predisporre “adeguate” misure di sicurezza (come richiede il nuovo Regolamento europeo per la protezione dei dati personali, il GDPR in applicazione da fine maggio 2018).
Dalla ricostruzione effettuata dagli specialisti del CNAIPIC (Centro nazionale anticrimine informatico della Polizia Postale) con la collaborazione dell’FBI, sarebbe emerso che i due fratelli gestivano una rete di computer (c.d. botnet), infettati con un malware chiamato Eyepyramid, inoculato attraverso l’invio di un’email che conteneva il virus in questione il cui codice di acquisto dovrebbe rimandare proprio a Giulio Occhionero.
Cos’è un malware e come si propaga? E’ un software malevolo usato per infettare e spiare una serie di utenti target attraverso la diffusione di allegati di messaggi di posta elettronica o falsi link che nascondono in realtà dei file eseguibili. In questo specifico caso il mezzo di diffusione è stata un messaggio e-mail, che veniva aperto dagli utenti target e che conteneva un allegato malevolo oppure un link ad un sito con contenuti malevoli. Il target dei fratelli Occhionero sarebbero stati diversi premier, moltissimi parlamentari, studi legali, imprenditori, sindacalisti, funzionari ministeriali, e perfino alti prelati, che avrebbero subito una sistematica violazione della loro corrispondenza e la sottrazione di documenti sensibili, anche di valore strategico sotto il profilo politico, economico o sociale.
Poiché è improbabile che per tutti questi anni queste strutture di primo piano pubbliche e private non disponessero di apparati e soluzioni di sicurezza recenti ed aggiornate per difendere la propria posta elettronica, allora cosa si può fare per ridurre i rischi di vedere violata la propria posta elettronica ed i propri dati personali?
Fermo restando che la sicurezza in senso assoluto non esiste, LAN Service consiglia sempre di adottare una metodologia completa per il Flusso di Protezione dei dati.
Per i documenti e file generati all’interno dell’organizzazione si consiglia di:
- Adottare una protezione Antivirus di nuova generazione
- Proteggere anche i dispositivi mobili con un Antivirus
- Adottare una protezione specifica Antimalware
- Adottare una soluzione di Patching
- Backup frequente (es. giornaliero) con 3 copie dei dati (almeno una off-line)
- Replicare i dati verso un sito remoto
- Storicizzare i dati per poter ricostruire una situazione precedente
- Effettuare un’archiviazione a lungo termine off-line
Per i documenti e file provenienti e generati dall’esterno dell’organizzazione oltre alle soluzioni precedenti si raccomandano le seguenti attività:
- Adozione di un Firewall/UTM di nuova generazione
- Adozione di una soluzione Antispam
- Adozione di una soluzione di controllo dei flussi
Per tutte le organizzazioni sono fortemente consigliate inoltre anche:
- Tecniche di cifratura e crittografia dei dati (caldeggiate dal Regolamento GDPR)
- Corsi di formazione sulla sicurezza (anche erogabili via Web, CBT) per i dipendenti e manager
- Gestire le Password con strumenti professionali e con una maggiore complessità e frequenza di rinnovo dell’attuale (che comunque non dovrebbe essere inferiore a 6 mesi e non dovrebbe essere inferiore a 8 caratteri)
- Implementare una soluzione di Disaster Recovery o di Business Continuity
Dopo aver adottato queste soluzioni, non si può essere certi di essere al riparo da attacchi perpetrati da hacker super esperti o da agenzie nazionali di sicurezza, ma almeno si possono centrare i seguenti obiettivi:
- di aver predisposto delle soluzioni “adeguate” di sicurezza che mettono al riparo da contestazioni e sanzioni da parte dell’Autorità sulla Protezione dei dati personali e richieste di risarcimento degli utenti i cui dati siano stati violati;
- di aver elevato le barriere di sicurezza ad un livello tale da scoraggiare la maggior parte dei malintenzionati. Quando gli attacchi Ransomware o di altro tipo vengono avviati si punta spesso sugli utenti che rappresentano le “prede” più semplici da catturare, perché i loro sistemi di sicurezza sono più facilmente violabili. Se si vuole attaccare un utente con difese molto strutturate occorre valutare lo sforzo ed il costo per riuscire a trovare una falla nel sistema. E spesso il gioco non vale la candela.
- di aver introdotto una cultura della sicurezza che può dare benefici in ogni settore di attività dell’organizzazione, come per esempio la progettazione di una soluzione applicativa sicura e rispettosa dei dati personali degli interessati sin dalla progettazione (Privacy by Default), oppure avviare una campagna marketing che non espone i dati del DB ad un accesso o manipolazione incontrollata durante la collaborazione con un’agenzia pubblicitaria.
