La notizia dell’attacco ransomware che ha esfiltrato 60 Gb di dati della SIAE è rimbalzata su tutti i social network, causando però, più che sorpresa, qualche dubbio circa la gestione dell’accaduto.
In prima serata, nel servizio del TG1(minuto 11:25), un’altra oscenità di cybersecurity, forse peggiore delle credenziali, esposte all’interno dell’HUB vaccinale stavolta proviene dalla dichiarazione resa dal dg di SIAE. Secondo questi, infatti “per fortuna non sembrerebbero esserci dati economici, cioè relativi a IBAN bancari o cose di questo genere. Solo dati anagrafici relativi a carte di identità, codici fiscali e dati di molti nostri dipendenti”.
Sorprende – e non poco – quel solo, tutt’altro che improvvisato, ma parte di una dichiarazione ufficiale resa dal Direttore Generale, il quale ha ribadito, peraltro, che non c’è stato alcun danno economico.
Ora: delle due, l’una. O viene considerato il furto d’identità come un rischio non consistente per gli interessati coinvolti e non potenzialmente in grado di produrre danni economici significativi, o altrimenti si sta tentando di sminuire l’accaduto. È possibile accettare che venga – come da tradizione istituzionale italiana – esercitato il bispensiero per cui si è al contempo vittima di cyberterroristi, ma che l’accaduto non è così grave come potrebbe sembrare? Insomma: c’è o ci sarà un’assunzione di responsabilità, al di là della dichiarazione di non voler pagare il riscatto di 3 milioni di euro in bitcoin?
Dopodiché, verrebbe da chiedersi se si assisterà ad un déjà vu di quanto accaduto con la Regione Lazio con annunci roboanti, comunicazioni di data breach carenti dei contenuti prescritti dalla norma e nessun ulteriore approfondimento circa i controlli delle misure di sicurezza?
Provocatoriamente: se non si vuol pagare, così sia, ma che per trasparenza sia pubblicata la ransom note, ovverosia la richiesta di riscatto, con tanto di portafoglio bitcoin (il c.d. bitcoin wallet). In questo modo chiunque potrà ben verificare che in effetti non c’è stata alcuna transazione. Così potrebbe fare anche la Regione Lazio, ad esempio, onde fugare ogni dubbio sulla strana vicenda dei backup miracolosamente ritrovati.
Un’ultima nota. Da quanto riportano le agenzie di stampa, la società era “già stata vittima alcune settimane fa di piccoli attacchi, quelli che in gergo sono chiamati phishing”. Anche qui: piccoli attacchi. Senza precisarne le conseguenze, che ben potrebbero aver compromesso i sistemi e aperto la strada ai cybercriminali sfruttando la vulnerabilità lato operatori.
Insomma: piccoli attacchi, solo dati anagrafici sottratti. Per quanto si voglia sminuire l’accaduto, i fatti sono chiari: 60 Gb di archivi sono stati sottratti ed ora sono in vendita sul dark web. Con un’esposizione degli interessati ad un rischio significativo e tuttora non trattato attraverso una comunicazione di data breach.
