È passato un po’ sotto silenzio, vuoi perché siamo presi da mille problemi, vuoi perché forse ci stiamo facendo il callo, ma qualche giorno fa si è verificato un nuovo attacco informatico ai danni di una Pubblica Amministrazione, che si rivela bersaglio sempre prediletto della criminalità informatica. Questa volta vittima è stata la Regione Sardegna, che ha annunciato la pubblicazione nel dark web di migliaia di file relativi a propri dipendenti e degli utenti delle direzioni generali di Enti locali e Protezione civile regionale. Non è stato dichiarato da che cosa sarebbe partito l’attacco, ma pare che i vertici regionali abbiano ritenuto responsabili quelli della società Sardegna IT, società in house che gestisce i sistemi informatici della Regione a Statuto Speciale.
Pare siano stati oggetto di divulgazione dati anagrafici (documenti di identità, curriculum vitae, numeri di cellulare), dati sanitari, informazioni su stato patrimoniale e finanziario, anche green pass, verbali di verifiche e sopralluoghi relativi ad abusi edilizi con migliaia di foto allegate, cartelle esattoriali, informazioni sul demanio marittimo: questa volta, quindi, sembrerebbe un attacco volto non tanto ad ottenere un riscatto, come avviene tipicamente per i ransomware, quanto proprio per creare un danno reputazionale e di immagine, ma anche economico, viste le probabili conseguenze per la Regione in termini anche solo di sanzioni.
Ma che cos’è questo dark web di cui tanto parla e perché i criminali informatici divulgano al suo interno i dati personali che riescono a carpire con i propri atti di pirateria?
Immaginiamo internet, che, come ci piace ricordare sempre, è un mondo a tutti gli effetti, ancorché virtuale, come un gigantesco iceberg: quello che noi navighiamo quotidianamente non è che la sua punta, l’internet di superficie, una piccola parte del web. Tutti i siti raggiungibili nella rete di superficie tramite indirizzo www e che vengono indicizzati dai motori di ricerca, quindi sono facilmente visibili e rintracciabili, si trovano sulla parte emersa del web.
Ma la maggior parte del traffico avviene al di sotto della linea di galleggiamento.
La maggioranza del web è costituita da quello che troviamo subito sotto: il deep web, l’internet profondo. Nonostante il nome possa fare pensare a qualcosa di potenzialmente losco o pericoloso, non c’è nulla di cui preoccuparsi: il deep web non è un luogo virtuale illegale o pericoloso, semplicemente è la parte di internet non indicizzata dai motori di ricerca e pertanto quella dove si trova la maggior parte delle informazioni: carrelli di shopping su siti e-commerce, credenziali di accesso alle e-mail, codici dei siti della banca online, user ID e password del nostro SPID. Tutto ciò che in qualche modo transita attraverso il web, ma che non si deve vedere, passa di qui, nel deep web. Se per esempio si effettuasse, su un motore di ricerca, la ricerca delle parole “Cristiano Ronaldo”, il web di superficie ci restituirebbe subito milioni di risultati in pochissimi secondi. Ma se “Cristiano Ronaldo” fosse la password della nostra email, ovviamente questo record particolare non verrebbe incluso nei risultati della search, proprio perché, dovendo rimanere riservato, non si colloca nel web di superficie, ma nel deep web.
Infine, nella parte del fondale più bassa e quindi più scura, troviamo il dark web, l’internet oscuro, che spesso viene confuso con il deep, cosa che tuttavia, come visto, non è corretta: è qui, nel dark web, che avvengono le transazioni illegali e pericolose.
Nato originariamente per la navigazione in anonimato e totale sicurezza da parte dei servizi militari statunitensi, al dark web si accede tramite browser Tor e con estensioni di siti particolari (.onion) di cui è necessario conoscere gli indirizzi. Tor, che può essere utilizzato anche per la navigazione “normale” è un browser che consente un altissimo livello di anonimizzazione della navigazione, ed è ideale se si vuole passare attraverso la rete senza lasciare tracce. In minima parte il dark web è utilizzato da attivisti e politici contro regime che, nei loro Paesi d’origine, non hanno la possibilità di parlare liberamente, di fare opposizione politica e di fare sentire la propria voce, ma proprio per queste sue caratteristiche di facile anonimato e quindi per la possibilità di sparire nel nulla, il dark web ospita, proprio come nei bassifondi cittadini, una pletora di criminali della più vasta specie, ed è possibile trovare ogni sorta di attività illegale, dallo spaccio di stupefacenti al contrabbando di armi, ad altri reati particolarmente odiosi.
Ed è sempre qui, nel dark web, che avviene la compravendita illegale di dati, che hanno un proprio listino ed un mercato florido, a dimostrazione che i dati personali sono veramente l’oro nero del terzo millennio.
Ecco una tabella indicativa del valore del Doxing, ovvero della diffusione pubblica di dati online senza il consenso dell’utente e la successiva vendita dei dati tramite il dark web (fonte: Kaspersky)
DATI IDENTIFICATIVI: costo compreso tra 40 centesimi e 8 euro. In questa categoria di dati rientrano il nome completo, il codice fiscale, la data di nascita, l’indirizzo e-mail e il numero di cellulare
SELFIE CON DOCUMENTO: (passaporto o patente) vale tra 33 e 50 euro
SCANSIONE PASSAPORTO: tra 4 e 13 euro.
SCANSIONE PATENTE: tra 4 e 21 euro
DATI DEL CONTO CORRENTE: sono venduti sul dark web a circa 1/10% del suo valore.
ACCOUNT PAYPAL: tra 42 e 418 euro.
DETTAGLI CARTA DI CREDITO: dai 5 ai 16 euro.
DATI DI ACCESSO SERVIZI IN ABBONAMENTO: tra 40 centesimi e 7 euro.
Non stupisce quindi che i dati facciano gola alla criminalità informatica, non solo per la possibilità di chiedere un riscatto al Titolare, ma anche per il loro valore intrinseco.
Ed a fronte di questi numeri e della frequenza di attacchi di ogni giorno, è anche probabile che non sia sufficiente la mera indicazione di “cambiare le password” dopo il verificarsi di ogni incursione illegale nei sistemi altrui.
Il rischio zero in informatica non esiste, non ci stanchiamo mai di ripeterlo. Esistono tuttavia solide strategie di prevenzione, adeguati mitigation plan, approcci basati sul rischio e implementati secondo le regole della resilienza massima possibile dei sistemi informatici e procedure di data breach e disaster recovery in grado di fornire una risposta effettiva ed immediata nel caso di attacco di successo.
Sono tutte misure previste dal GDPR, il Regolamento Europeo per la Protezione dei Dati Personali, a cui i Titolari, purtroppo, specie se pubblici, ancora faticano ad adeguarsi, ma che sempre di più necessitano di essere adeguatamente implementate. È passato il tempo, e pare sia sotto gli occhi di tutti, in cui era possibile affermare che “della privacy non mi interessa niente” ed in cui un Titolare poteva ostinarsi a non voler prendere in considerazione una norma pensata per la tutela degli interessati, ma anche del business: soprattutto quando si tratta di dati in carico alle PA, è essenziale che i cittadini abbiano la ragionevole certezza che i propri diritti e libertà fondamentali, in mano agli amministratori pubblici, siano protetti ed al sicuro.
Sullo stesso tema potrebbero interessarti anche:
Scrivi un commento
Accedi per poter inserire un commento