di Andrea Monti – PC Professionale n. 183
Le indagini riguardano l’accesso non autorizzato a database privati a uso aziendale, di per sé leciti.
Il clamore suscitato dal caso Telecom Italia, e relativo a presunti coinvolgimenti di manager della sicurezza in attività non autorizzate di messa sotto controllo di un numero rilevante di persone, ha impedito di inquadrare correttamente i fatti e le implicazioni che ne derivano. Le indagini non riguardano casi di intercettazioni abusive, ma di accesso non autorizzato a database privati o addirittura confidenziali. E nessuno ha posto l’accento su due questioni.
La prima: come è stato possibile per i malintenzionati entrare in questi sistemi senza lasciare tracce? La seconda: cosa hanno fatto, in dieci anni, le autorità di controllo e in particolare il Garante per i dati personali?
Andiamo con ordine. Le indagini della procura di Milano – questo si legge nel provvedimento di custodia cautelare emesso dal giudice per le indagini preliminari (GIP) – non riguardano intercettazioni telefoniche abusive. I magistrati stanno indagando sull’accesso non autorizzato ai sistemi di contabilizzazione del traffico telefonico. In altri termini, i pubblici ministeri contestano “semplicemente” agli indagati di avere acceduto illecitamente a banche dati aziendali realizzate per fini assolutamente leciti (fatturazione, gestione delle ricariche).
In secondo luogo, come si desume sempre dagli atti della magistratura pubblicati sul sito di un quotidiano, una parte rilevante delle attività illecite sarebbero state commesse da appartenenti alle forze di polizia che accedevano abusivamente alle banche dati riservate che contengono dati sui precedenti penali, sui pernottamenti negli alberghi, sulla situazione fiscale e patrimoniale delle persone, per poi rivendere a investigatori privati il risultato delle loro “query”. Dunque i dati provenienti “lato Telecom” sarebbero relativamente meno “interessanti” , o comunque una parte non rilevante, di tutte le altre informazioni che venivano reperite accedendo ai sistemi informativi del ministero della giustizia.
Queste considerazioni ci portano direttamente alla prima domanda: come mai sistemi informatici privati, ma soprattutto pubblici, erano costruiti senza una particolare attenzione al logging degli accessi, consentendo, quindi, l’estrazione di informazioni senza lasciare tracce? Scarterei l’ipotesi “complottista”, secondo cui “qualcuno” li ha costruiti “apposta” per facilitare azioni abusive. Mi sembra più ragionevole concludere che quando si trattò di progettare il sistema informatico di controllo dei pernottamenti in albergo, per esempio, nessuno si pose concretamente il problema della sicurezza. Tanto, come si sente ripetere sempre nel settore, cosa volete che succeda? Già, cosa volete che succeda… è proprio questo approccio una delle principali cause della situazione di grande vulnerabilità dei nostri sistemi informativi.
Il mercato della sicurezza informatica è fondamentalmente legato alla vendita di “scatole nere” (firewall, antivirus ecc.) e la clientela (che non sa o non vuole sapere) preferisce affidarsi alle “scatole” piuttosto che investire in analisi e ristrutturazione dei processi aziendali in modo da orientarli alla sicurezza delle informazioni. E questo sarebbe (ed è) estremamente necessario, visto che per l’ennesima volta è giunta la prova che i pericoli per la sicurezza arrivano innanzitutto da dipendenti infedeli piuttosto che dagli “eker” cattivi.
Fatto sta che in ambedue i casi, la speranza comune è che non succeda mai “nulla di grave” e che quindi non si sarà mai chiamati a dare conto delle scelte compiute. Basta scrivere quattro pagine scopiazzando la legge sui dati personali e tutto va a posto. Ed è proprio la legge sui dati personali – o meglio, chi dovrebbe applicarla, cioè il Garante per i dati personali – a doversi assumere una parte non banale di responsabilità per quello che è successo in Italia negli ultimi dieci anni nel campo della sicurezza informatica.
Mi pare infatti abbastanza riduttivo, da parte dell’Autorità, affrontare il “caso Telecom” dicendo “già da dicembre 2005 avevamo iniziato i controlli”, quando in dieci anni si è scrupolosamente evitato di prendere misure efficaci contro le prassi di mercato della sicurezza informatica, consentendo quindi di arrivare alla classica goccia che fa traboccare il vaso. E nemmeno ci si potrebbe giustificare con la solita scusa del “siamo a corto di risorse”. Visti gli interessi in gioco, la razionalizzazione dei mezzi scarsi imporrebbe di dedicarsi prima ai fatti macroscopici dando meno urgenza alle minuzie, o comunque alle cose di minor rilevanza. Ma questo non è accaduto, e si è preferito – nel corso degli anni – occuparsi di altro. Tanto, cosa volete che succeda…
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte