Sicurezza

AssetProtection. Intrighi sentimentali e cybercrime: risposta agli incidenti fra privati

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Nel momento in cui si è sotto attacco, ogni minuto è prezioso per mettere in sicurezza informazioni sensibili che rischiano di diventare di dominio pubblico

Certe scene di spionaggio, intrighi amorosi e cybercrime fino a qualche anno fa erano immaginabili solamente sui set di 007 oppure tuttalpiù in qualche fascicolo top secret di un investigatore privato. Ma ai giorni nostri, un po’ per la grande diffusione dei social network, nei quali la gente avverte l’irresistibile desiderio di confessare i più reconditi segreti, un po’ per l’abbattimento dei costi della tecnologia fai da te ed infine per la grande disponibilità di informazioni in rete – esistono tutorial per fare qualsiasi cosa, missili inclusi – la realtà supera ancora una volta di gran lunga la fantasia.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Sempre qualche anno fa, in situazioni sentimentali spinose, si chiamavano gli amici per un supporto emotivo. Invece adesso si chiamano per ricevere un aiuto (se capiscono qualcosa di informatica e sicurezza) con l’obiettivo di riprendere il controllo della situazione dopo una violazione informatica (ripicca per un tradimento subito?).

Non importa che si parli di grandi multinazionali, piccole e medie imprese oppure privati. Nella maggior parte dei casi tutti sono mossi ad una riflessione più approfondita sulla sicurezza delle informazioni sempre dopo che l’incidente si è compiuto, solo quando bisogna agire in fretta e furia per salvare il salvabile, contenere il danno, e ritornare alla normalità il più presto possibile.

Qualche mese addietro ricevo un’inaspettata chiamata notturna da parte di un amico. Ha l’affanno, la voce alterata. Senza preoccuparsi se per caso stessi dormendo, mi racconta di una vicenda confusa tra lui, una presunta amica, che improvvisamente diventa più espansiva del solito, ed il compagno di lei, che sarebbe stato meglio non si rendesse conto di nulla ma che invece, grazie a Facebook, si era accorto proprio di tutto.

Il mio amico non dà troppo peso a tutti questi dettagli; anzi, a dire il vero, non gli interessano. Piuttosto si concentra su un fatto di natura più cyber. Sulla sua bacheca è comparso un post minaccioso e lui non può più accedere al suo account per eliminarlo. Nel giro di un giorno riceve anche più chiamate, alle quali ovviamente non risponde, su un suo numero di cellulare che pensava di custodire ben nascosto, ma che evidentemente poi così segreto non era. Era nel pallone non tanto per le minacce, che a dire il vero non risultavano poi così pesanti, quanto per l’impossibilità di capire se e quali dati (numeri di carte di credito e codici di accesso all’home banking compresi) fossero caduti nelle mani sbagliate e quale danno ciò avrebbe comportato; quanto gli sarebbe costata (in euro) la disinvoltura della sua amica?

Nel momento in cui si è sotto attacco, ogni minuto è prezioso. E dover perdere tempo, per di più con la mente poco lucida, cercando di capire quali password modificare e quali sistemi sono invece da bloccare in misura cautelativa, non è certo l’ideale.

Abbiamo quindi rapidamente fatto il piano d’azione sulla base di una classificazione delle informazioni, attribuendo a ciascuna di esse un livello di criticità e stabilito un criterio di robustezza delle nuove password da inserire dopo aver ripreso possesso degli account (per fortuna aveva già inserito le informazioni per il recupero del profilo in caso di espropriazione). Abbiamo poi dovuto capire queste informazioni su quali dispositivi fossero residenti oppure venissero utilizzate per scansionarli alla ricerca di qualche trojan che avrebbe potuto rendere vano il lavoro di sostituzione delle password.

A sanificazione completata e vicenda dimenticata, la lezione appresa è stata deludente, specie per gli appassionati di 27k (Requisiti per sistemi di gestione di sicurezza delle informazioni) come me. Il mio amico ha deciso di non dare più confidenza alle ragazze fidanzate che si dimostrano particolarmente espansive. La matrice di interazione tra classificazione delle informazioni, livello di criticità e dispositivi sui quali sono residenti oppure transitano gli è sembrata veramente troppo complessa e forse, in virtù del fatto che alla fine la vicenda non gli è costata neanche un euro, ha deciso di considerarla un’esagerazione piuttosto che un approccio snello e sensato per evitare problemi futuri.