La Corte dei Conti ha sporto denuncia alla Polizia Postale per un attacco che ha fatto alcune vittime tra i loro magistrati. Si tratta della classica truffa Whatsapp del codice a sei cifre da cui alcuni criminali hanno preso possesso dell’account di chat di alcuni magistrati.
Indice degli argomenti
L’attacco al Whatsapp di magistrati della Corte dei Conti
Da qui si teme che abbiamo avuto accesso, oltre che alla rubrica, anche a chat e a documenti che i magistrati condividevano in quel modo invece che via mail.
Ricordiamo che il numero di telefono è spesso l’username per molti servizi, ormai. Se i criminali mettono mani su quello, tramite una rubrica a cui hanno accesso, hanno già in mano metà delle credenziali. Il numero può comunque essere usato direttamente per phishing (con maggiore efficacia se lo si fa da account Whatsapp compromesso, ma non necessariamente così).
Non ci sono altri dettagli per ora, ma la vicenda ci aiuta molto, soprattutto in questa fase, a capire le conseguenze collettive di un attacco informatico. E di come sia sempre più necessario che non solo i singoli ma la stessa collettività si attrezzi per proteggersi, con tecnologie e competenze adeguate.
Attacco cyber, danni alla collettività
- In un periodo in cui la cyber è fattore geopolitico ci possono essere interessi di Paesi nemici (Russia in primis) a carpire segreti di rilevanza pubblica, ospitati in account o dispositivi personali di cariche pubbliche.
- Ma anche il furto di un brevetto di un’azienda italiana o un bonifico truffaldino può avere enormi conseguenze sul territorio se quell’azienda è costretta a chiudere o a licenziare, in conseguenza dell’attacco.
Non pensiamo che la poca consapevolezza di questi rischi sia esclusiva di poche figure pubbliche o politiche. Quando li racconto agli imprenditori, spesso si sorprendono. E non devono nemmeno colpire il ceo per fare così tanti danni. Basterebbe entrare nel pc di un impiegato reparto tecnico.
Quali soluzioni
- Ci sono certo regole organizzative e personali, ormai note, che possono venire in soccorso. Come non mandare dati aziendali o segreti di rilevanza pubblica (come carte di un processo) su app personali, ma solo solo strumenti sicuri (quali chat aziendali interne al perimetro protetto).
- Ci sono da anni tecnologie (Mam, mobile application management) per isolare app personali da quelle business in un dispositivo personale.
Anche una piccola PA può avere accesso a tecnologie e consulenze a un prezzo alla sua portata. Ci sono già norme e regole per condurre le PA su questa strada e da tempo si fa uno sforzo per la consapevolezza cyber degli imprenditori.
Per la sicurezza informatica di alcune cariche pubbliche di rilevanza critica, invece, i servizi dello Stato offrono copertura. Ma non per tutte.
Per alcune figure, del tema si occupano ordini e associazioni di categoria ma con iniziative disomogenee lasciate alla sensibilità del singolo responsabile.
Restano fuori da ogni copertura soggetti come i capi politici privi di carica istituzionale e vari magistrati.
Allora, visto il percorso virtuoso che sta facendo Italia con la strategia di cybersecurity firmata dall’Agenzia (Acn) diretta da Roberto Baldoni, crediamo che un prossimo passo per risolvere la questione può essere di tipo legislativo: stabilendo misure minime di sicurezza per alcune figure di rilevanza pubblica e indicando anche i servizi disponibili, un po’ come sta avvenendo con il cloud pubblico certificato.
L’Italia è sul tracciato giusto per affrontare il problema in modo strutturato a tutti i livelli interessati dal rischio cyber; con la consapevolezza che le ricadute di un attacco possono riguardare non solo i singoli e le loro organizzazioni, ma anche l’intera collettività.
