Appare chiarissimo che l’ultimo “caso Equalize” certifica un livello di inadeguatezza della cybersecurity delle banche dati nazionali assolutamente imbarazzante
Dopo i casi del finanziere Striano, il bancario voyeur Coviello, adesso una “società di analisi di rischi aziendali” (Equalize) che ha svolto data mining su molteplici banche dati dei Ministeri (ma non solo), “altamente riservate e sensibili” (e diremmo noi strategiche per la sicurezza della nostra Nazione).
Il Garante segnala di aver creato una “task force interdipartimentale per individuare prontamente le attività da intraprendere e le maggiori garanzie a protezione delle banche dati”.
Dato che emerge come le banche dati siano state esfiltrate, oltre che con l’ausilio di credenziali cedute, anche con tecnici informatici e sistemisti compiacenti, ricordato che esiste un (generalmente disapplicato) provvedimento del Garante relativo agli amministratori di sistema, perchè non partiamo da quello che esiste e facciamo i controlli?
Oppure nel pubblico i controlli dei log non si possono fare?
Siamo ben oltre il “mero data breach” (e praticamente nessuno lo indica), poiché quanto accaduto riguarda l’accesso abusivo e l’uso non autorizzato di banche dati governative e riservate, come quella del Ministero dell’Interno.
Adesso il Governo deve mettere urgentemente mano al problema (si è addirittura parlato di hacker israeliani e Mossad); non si tratta solo di protezione dei dati personali e riservati, è a rischio la sicurezza nazionale e la stabilità delle fondamenta della nostra Repubblica.
UPDATE1: il ministro della Giustizia, Carlo Nordio, concordando sulla nostra analisi, esprime la sua “più profonda preoccupazione per ciò che è accaduto e sta accadendo: è inaccettabile e inquietante, costituisce un serio e concreto pericolo per la nostra stessa democrazia”.
Riferisce altresì al question time della Camera che “per il potenziamento delle reti, dei servizi e dei sistemi cyber della pubblica amministrazione, centrale regionale e locale, l’Acn ha disposto finanziamenti complessivi per oltre 715 milioni euro. Tali risorse hanno riguardato gli esercizi finanziari 2022-2024 e interesseranno anche i successivi due esercizi 2025-2026, a valere sui fondi Pnrr per un totale di oltre 376 milioni e sui fondi della Strategia nazionale cyber per un totale di oltre 339 milioni”
Come spesso affermiamo, la soluzione non viene (solo) dall’acquisto di scatole (software, hardware, servizi); occorre governance, competenze, controlli ed assessments.
UPDATE2: segnaliamo un articolo dell’avv. Scorza, componente della Autorità di Controllo, dal titolo: La privacy è sempre una pietra angolare della democrazia italiana, servono più risorse per proteggerla; estraiamo ed evidenziamo: “… l’auspicio è che, anche a proposito delle cose della privacy, quelli suonati nelle ultime settimane siano allarmi che non ci lasceremo scivolare addosso ma dei quali faremo tesoro per restituire al diritto alla privacy la dignità che merita nella nostra società in maniera non episodica ma sistematica …“