L’attacco dei cybercriminali alla SIAE che ha portato ad estendere la richiesta estorsiva anche agli interessati coinvolti, si trova sotto la lente del Garante Privacy il quale ha aperto un’istruttoria a riguardo.
Qual è la posizione della società, a parte le sorprendenti dichiarazioni del proprio dg? Se andiamo a leggere il comunicato, il quale non si dubita riepiloghi anche le informazioni fornite all’autorità di controllo per la notifica di data breach, qualche circostanza viene chiarita. O per meglio dire: narrata.
Si apprende infatti che l’esfiltrazione ha riguardato “taluni file presenti nel sistema documentale della Società, prevalentemente file pdf”. Al di là delle considerazioni circa il formato dei documenti, le informazioni sottratte dai cybercriminali riguardano: dati anagrafici; dati di contatto (mail, numeri telefonici); dati bancari (IBAN); dati riportati su documenti di identità; dati riportati sui moduli di adesione a SIAE relativi prevalentemente agli anni 2019 e 2020.
E qui sorge un dubbio: il dg Blandini diceva che “per fortuna non sembrerebbero esserci dati economici, cioè relativi a IBAN bancari o cose di questo genere. Solo dati anagrafici relativi a carte di identità, codici fiscali e dati di molti nostri dipendenti”. Ma il comunicato del giorno successivo invece riporta che sono presenti dati bancari. Non solo: anche nel modulo di adesione autori sono raccolte le modalità di pagamento per la riscossione dei proventi riguardanti il repertorio di competenza. Insomma: la dichiarazione rilasciata “a caldo”, continua a sorprendere.
Quali contromisure ha adottato la società? A quanto viene comunicato, c’è stato il blocco dell’utenza “non appena avuta notizia dell’accesso fraudolento al proprio sistema documentale”. Le misure di mitigazione intraprese? Generiche “misure rafforzative di sicurezza con il coinvolgimento di primarie società di Cyber Secuyrity”, una denuncia presso la Polizia Postale, la notifica al Garante e, ovviamente, il sottolineare “con fermezza che produrrà ogni sforzo per perseguire i responsabili”.
Nella descrizione dell’incidente non si trova alcun riferimento al tempo per cui c’è stata tale attività illecita all’interno dei sistemi, che certamente sarà integrata da un’analisi dei log di accesso, così come l’individuazione della vulnerabilità che è stata sfruttata dagli attaccanti.
Molto più importante: quanto pubblicato non è una comunicazione di data breach.
Manca infatti un elemento fondamentale: la descrizione delle probabili conseguenze della violazione al fine di allertare gli interessati. Certo, oramai in parte ne sono più che consapevoli dal momento che hanno ricevuto a loro volta una richiesta estorsiva da parte dei cybercriminali. Ma non sono le uniche potenziali conseguenze negative che è possibile subire, e l’assenza di un’allerta comporta – potenzialmente – l’aggravarsi di quegli “effetti dell’aggressione” che tutt’ora la società sta valutando.
