Quando il Cyber Risk è generato da chi dovrebbe mitigarlo

  • 10/06/2019 00:00

Giusto settimana scorsa si parlava di Cyber Security durante la tavola rotonda all’evento Timenet. Io sembro partire prevenuto (a volte lo sono), ma ho delle ragioni che penso siano valide: una mi si è (ri)presentata prima di arrivare a Firenze.

Giusto settimana scorsa si parlava di Cyber Security durante la tavola rotonda all’evento Timenet. Io sembro partire prevenuto (a volte lo sono), ma ho delle ragioni che penso siano valide: una mi si è (ri)presentata prima di arrivare a Firenze.

Viaggiare in treno o in aereo sono due cose che ho fatto parecchio negli ultimi due anni, e devo dire che la cosa ha vantaggi enormi. Il primo è che puoi dormire. Seguito dal fatto che puoi leggerti un libro, ascoltare della musica senza che (potenzialmente) qualcuno di fracassi la pazienza più del dovuto, oppure puoi fare del puro social engineering passivo.

Durante il mio viaggio per Firenze mi sono seduto accanto ad un perfetto sconosciuto. Era un consulente di una noto system integrator di fama internazionale e stava lavorando ad un progetto di Unified Communications (ironia della sorte, visto che l’evento era di Timenet, un provider di servizi di comunicazione).

Non è che glielo abbia chiesto, io fatico a creare relazioni sociali con gli sconosciuti. Però mi è bastata un'ora di treno per scoprire per che azienda lavorasse, per quale azienda (grande) stesse lavorando, quanti nodi del sistema Cisco UCM fossero stati posizionati, in quale configurazione cluster, e con quali indirizzi IP. Successivamente ho visto che accedeva al portale HR della propria azienda (aveva le credenziali salvate nel browser, ma il numero di matricola era ben visibile) e che prenotava una sala riunioni nella fascia oraria tra le 9 e le 20 del giorno successivo. Così, nel corso del mio breve viaggio, ho visto quale fosse l’oggetto di quella riunione, che doveva discutere della stabilità della rete dopo l’installazione di una serie di apparati, e altre cose piuttosto interessanti. Avrei potuto dire di aver visto anche le credenziali di accesso, ma sarebbe stata una drammatizzazione eccessiva. No, non le ho viste.

La cosa inquietante è che io non ho aperto bocca. Mi è stato sufficiente stargli seduto accanto e osservare lo schermo del suo computer.

E non è una puntata di Mr. Robot.

Ora, se vogliamo parlare di tecnologie, soluzioni basate o meno su intelligenza artificiale (termine più che mai improprio) e sperare in un miracolo tecnologico che risolva il problema, continuiamo pure a parlarne. Continuiamo pure a parlare di password sempre più complesse da imporre agli utenti (due anni fa già espressi la mia opinione in materia, anche se quel post avrà una revisione a breve), tanto finiremo con l’avere utenti che si attaccano il post-it sullo schermo oppure cambieranno il numero in fondo alla propria password quando saranno costrette a cambiarla.

Continuiamo a richiedere ed evangelizzare soluzioni come le direttive NIS o altre amenità sul Cyber Risk Assessment, puntiamo il dito sui problemi e non sulla loro origine.

Torniamo nel concreto. Il cliente in questione era una utility. Pubblica utilità. Servizi al cittadino e alla nazione. Una struttura critica che richiede un minimo di coscienza e buon senso nell’essere gestita. Non dico che devi viaggiare su un furgone blindato con scorta o affittare un intero vagone treno con tanto di bonifica da sistemi di intercettazione, ma santo dio 50 euro per un filtro privacy potreste buttarli dentro nella configurazione dei portatili.

Questa era una situazione che sono stato in grado di analizzare e sfruttare, e se avessi avuto un approccio differente avrei potuto sfruttare le informazioni raccolte per ben altre finalità se non quella di pubblicare questo post.

Ma le situazioni di data breach inconsapevole o semplicemente ignorato si verificano ogni giorno. Fateci caso quando andate in treno, fatevi un giro in premium o business. Fioccano informazioni come regali a Natale. Intermediari finanziari che parlano dei portafogli dei propri clienti (a volte con tanto di nome e cognome nonché saldo) come se stessero parlando della partita di calcio del fine settimana precedente. Individui che parlano di questioni testamentali a seguito del decesso di un parente annotando le informazioni su un foglietto di carta che poi finisce in tasca (o nel cestino). Accordi su contratti commerciali su questa o questa soluzione, informazioni tecnologiche, finanziarie, personali.

No, scusate se mi ripeto.

La Sicurezza dei Dati non è solo una questione tecnologica.

Perché se il computer ha la password complicatacomepiaceavoi, se ha la VPN per accedere in azienda, ma poi lasciano il portatile aperto e sbloccato per andare in bagno oppure parlano al telefono di quello che hanno appena progettato a video, state continuando a sbagliare lavoro.

E non mi sento in colpa per averlo detto così.

  • Contatti

Data Protection & Copyright

RIGHTS CHAIN LTD.

Networking & IT

RIVOLUZIONE DIGITALE SRL

Social Profile