F. Tonacci e M. Mensurati - Un miliardo di furti digitali. E i ladri sono accanto a noi

UN MILIARDO DI FURTI DIGITALI 

E I LADRI SONO ACCANTO A NOI

Nel 2010 il numero di nomi, codici, password e altri dati personali trafugati supererà i nove zeri. Nella metà dei casi le violazioni avvengono a opera di personale interno alle aziende che dovrebbero custodire le informazioni

FABIO TONACCI e MARCO MENSURATI

UN MILIARDO di furti digitali su Internet. Una quota paurosa che verrà raggiunta nel 2010. Una cifra che da sola racconta quello che per gli addetti ai lavori è ormai una certezza: la rete è un colabrodo. Nomi, codici di carte di credito, password, informazioni personali, conti bancari, numeri di telefono, indirizzi di posta elettronica, insomma tutto quello che gli archivi on line possono contenere. I nostri dati. Alcuni irrilevanti, altri preziosissimi. Trafugati, dal 2003 ad oggi, da ladri di identità, organizzazioni criminali, dipendenti infedeli, cialtroni vari: rubati per frodare gli utenti o per essere rivenduti sul mercato nero.  

E' quanto racconta la "fotografia" scattata da Verizon Business - la società che si occupa di sicurezza digitale e sviluppo tecnologico per conto di Verizon Communication, il colosso americano delle telecomunicazioni protagonista di recente di un controverso accordo con Google 1 sulla neutralità della rete - nel "2010 Data Breach Investigations Report", compilato al termine di un'indagine condotta insieme con i tecnici dei servizi segreti americani.  

Il documento che verrà presentato alla stampa italiana lunedì mattina, 64 pagine in tutto, descrive una realtà inquietante per quantità ("oltre 900 milioni di record compromessi fino al 2009", almeno un miliardo in proiezione per il 2010, laddove per record si intende l'unità minima di informazione di un database, ad esempio, per un elenco telefonico, il "set" nome cognome e numero) ma soprattutto per qualità delle infrazioni.

"La metà delle violazioni dei dati (48% del totale) è causata da soggetti che hanno impiegato in modo non autorizzato i propri diritti di accesso alle informazioni aziendali per scopi illeciti. Un ulteriore 40 % è opera di hacker, il 28 % è dovuto a tattiche di social engineering e il 14% ad attacchi fisici". In altre parole, rispetto al report del 2009, si assiste a una significativa riduzione degli attacchi esterni alle aziende, ma a un aumento del 30 per cento di quelli interni: sono dipendenti corrotti, ex impiegati, lavoratori in odore di licenziamento o della pensione, impiegati con problemi finanziari che abusano delle loro password di accesso per compiere illeciti, cioè trafugare i nostri dati per usarli illegalmente o rivenderli.  

"Sta diventando un problema serio - spiega Gerardo Costabile, responsabile della Sicurezza Logica di Poste Italiane (Poste Italiane e la Polizia Postale hanno creato a Roma una task force con i servizi segreti americani sulla cyber security, ndr) - è molto più difficile prevedere e neutralizzare un attacco interno rispetto a un attacco informatico portato dagli hacker.

Questo perché i comportamenti dei dipendenti di un'azienda sono protetti, in Italia, dallo Statuto dei Lavoratori e dalle Linee Guida del Garante della privacy, che riducono al minimo le attività di monitoraggio della rete interna alle aziende".  

Il documento entra anche nello specifico di questi furti, qualificando e identificando i "ladri di record" che sono per lo più (84 per cento) esponenti di gruppi riconducibili alla criminalità organizzata (dell'Europa dell'Est e dell'America del Nord, soprattutto). Questi, però, intervengono direttamente solo nel 24 per cento dei casi di furto, mentre di solito agiscono per interposta persona (che resta spesso sconosciuta).

Oltre alle solite tattiche utilizzate per rubare i dati, intrusioni di hacker e uso di maleware (software concepiti allo scopo), Verizon e servizi segreti Usa hanno registrato uno spaventoso aumento "dell'abuso dei diritti di accesso alle informazioni aziendali per scopi illeciti" e del social engineering (definizione che riassume tutte le tecniche "psicologiche" con cui gli utenti vengono indotti in maniera truffaldina, le proprie credenziali).

"In effetti anche nel nostro paese - osserva Costabile - sono in crescita i casi di phishing mirato, rivolto ai dipendenti delle società che hanno l'accesso ai database, sempre con l'obiettivo di rubarne le credenziali. L'aggancio avviene via mail ma anche per telefono".  

La ricerca, che secondo alcuni addetti ai lavori è solo parzialmente attendibile (il ticket Google-Verizon, infatti, ha troppi interessi specifici nel settore della cyber security e in queste settimane sta proponendo una rete alternativa a quella attuale, più veloce, più sicura e soprattutto più costosa), offre comunque molti spunti di riflessione. Come spiega l'avvocato Guido Scorza, esperto di privacy su Internet, che punta il dito contro l'"analfabetizzazione informatica degli utenti". È questa, dice, "la più ricorrente causa del successo delle violazioni poste in essere e ciò fa degli utenti italiani delle vittime ideali: più esposti ad attacchi specie basati su social engineering e meno in grado di percepire quell'insieme di anomalie nel funzionamento dei sistemi che rappresentano importanti indici sintomatici di violazioni consumate o in atto".

Un problema culturale, insomma, i cui riflessi sono ben visibili anche dal punto di vista aziendale (ambito in cui si sono consumati una quantità rilevante di episodi). Sono proprio le società che custodiscono le informazioni dei cittadini, infondo, a dover trovare una soluzione: "In questo senso - conclude Scorza - è forse possibile attuare l'auspicio con il quale Rodotà, nel 1997, aprì il primo convegno annuale dell'autorità garante: trasformare la privacy da costo a risorsa".

(19 settembre 2010)

(Ripreso da “Repubblica.it” del 19 settembre 2010)