“Da due giorni i miei profili social e le strutture informatiche del Ministero dell’Istruzione sono bersaglio di attacchi da parte di un gruppo di pirati informatici”: è così che la ministra Lucia Azzolina ha divulgato la notizia di un massivo attacco informatico nei confronti dei suoi canali social e delle strutture informatiche di quello che un tempo era il MIUR. Ma tanti aspetti sono in ombra su cosa sia successo.
Indice degli argomenti
Attacco alla cittadina Azzolina o al ministro: ecco le differenze
Per provare a fare luce, in primo luogo dobbiamo analizzare gli obiettivi di questo attacco: i profili social del Ministro e le strutture informatiche del Ministero. Il motivo per cui è importante riflettere sugli obiettivi è rinvenibile nel fatto che solo analizzando i dati in essi contenuti possiamo elaborare delle ipotesi di scenario.
Ebbene, quanto ai social del Ministro è importante evidenziare come gli effetti sarebbero diversi nel caso di profilo “privato” e/o di profilo riconducibile al ruolo istituzionale. Nel primo caso, un eventuale data breach vedrebbe difatti come vittima il comune cittadino Lucia Azzolina, mentre nel secondo caso vedrebbe come vittima il Ministro nel suo ruolo istituzionale.
Per capirci, la differenza è molto simile a quella esistente tra un furto in casa privata ed un furto presso l’ufficio del Ministro. È importante questa distinzione perché, tendenzialmente, solo nella seconda ipotesi, in caso di violazione, sarebbe necessario far scattare la procedura di data breach.
Abbiamo già parlato, sulle pagine di Cybersecurity360.it, di come debbano essere inquadrati i ruoli di titolare, responsabile e interessato nell’utilizzo delle pagine “aziendali” o, in questo caso, “istituzionali” di Facebook e simili.
Tendenzialmente, per quanto riguarda la bacheca, il titolare del trattamento resta Facebook mentre, per quanto riguarda i sistemi di messaggistica privata, il titolare del trattamento dovrebbe essere l’azienda (o, nel nostro caso, il Ministro).
In tal senso, trattandosi di profili social istituzionali (quindi non privati) nel caso in cui l’attacco informatico contro la Azzolina avesse raggiunto il suo scopo, è da ritenere che la stessa dovrebbe necessariamente procedere con la gestione del data breach, registrando l’evento e, nel caso, denunciando l’accaduto al Garante Privacy.
Non solo, in caso di breach sarebbe altresì necessario comunicare l’evento agli interessati in modo da limitare le possibili conseguenze derivanti dal data breach.
Questo, perché è verosimile che qualche cittadino utilizzi il profilo Facebook per scrivere al Ministro, comunicando informazioni confidenziali, tanto da non poter usare la bacheca.
Ma che estensione potrebbe avere un simile data breach? Quante persone scrivono al Ministro in privato? Questa è un’informazione difficile da stimare. Quello che però possiamo dire con certezza è che la violazione del profilo social potrebbe sembrare un problema di secondo rilievo se confrontato con la violazione dei sistemi informatici del Ministro dell’Istruzione.
È difatti questo l’elemento che desta maggiori preoccupazioni. La violazione dei sistemi MIUR potrebbe comportare la violazione dei dati di un numero molto elevato di persone. Possiamo forse dire che tutte le famiglie italiane si potrebbero ritrovare con almeno un parente vittima di un simile data breach.
Si consideri difatti che, in base a dati pubblicati dal Ministero, il numero complessivo degli studenti iscritti a scuola nel 2019 è superiore ad 8 milioni.
Per ognuno di questi presso il Ministero sarà presente una sorta di fascicolo in cui saranno indicate numerose informazioni tra cui, ad esempio, religione, allergie e vaccinazioni. Non solo, a moltiplicare esponenzialmente il problema vi è il fatto che, per ogni studente è solitamente indicato il nome dei due genitori e, probabilmente, anche l’ISEE familiare.
A ciò si aggiungano i dati dei lavoratori del ministero tra cui funzionari e, ancora più importante, i docenti (circa 800 mila) e assistenti tecnici.
Cosa è legittimo attendersi adesso?
Bastano pochi calcoli, anche spannometrici, per comprendere la mole davvero smisurata di persone coinvolte in una simile violazione.
Viene allora da chiedersi: perché non si hanno notizie in merito agli esiti di tali attacchi? Se il Ministero avesse comunicato qualcosa agli interessati di sicuro la notizia (visto il numero di persone interessate) sarebbe trapelata.
Il totale silenzio a riguardo lascia intendere che si sia verificato uno dei due scenari:
- nessuno degli attacchi ha dato esito positivo, nel senso che i criminali non sono riusciti nell’intento di violare i sistemi;
- il Ministero ha omesso di fare notifiche e comunicazioni, eventualità questa che riteniamo quantomeno improbabile seppur possibile.
Staremo a vedere.
