Cosa ci insegna Anonymous

News Privacy Sicurezza

Una società sempre più digitale è una società fragile

A due giorni dalla conclusione della “settimana nera” della sicurezza, possiamo abbozzare un primo bilancio, facendoci aiutare dal Garante Privacy e da qualche articolo apparso sul web.

La prima considerazione è che anche chi si occupa di sicurezza non ha ancora compreso la dimensione adeguata che deve avere la protezione dei dati. Basti pensare all’Istituto Centrale per gli Archivi, che si deve occupare delle linee guida per la realizzazione di sistemi informativi archivistici e di banche dati digitali, evidentemente con poca attenzione alla sicurezza, che è stato irriverentemente bucato con la pubblicazione di nomi, cognomi e password.

La seconda considerazione è che forse chi ha il potere decisionale non ha ancora capito che “realmente” i dati sono il petrolio di questo tempo e che possederli significa detenere il potere, oltre che avere la materia prima per poter generare valore o più semplicemente profitto. Non lo hanno compreso o non ci credono in quanto altrimenti avrebbero destinato maggiori risorse alla Cyber Security e sicurezza in generale. Maggiori risorse economiche certamente, da tradursi in figure professionali adeguate e formazione del personale, indispensabile quest’ultima per chiudere il cerchio della protezione, è inutile infatti essere protetti dall’esterno se è dall’interno che si cedono le credenziali con leggerezza.
La terza e ultima considerazione è che, aldilà delle risposte stizzite di chi è stato colpito direttamente dagli attivisti di Anonymous, non si legge né nelle parole del Garante né in quelle di altri commentatori, un giudizio di condanna e di denuncia verso costoro. Giustamente ci sentiamo di dire. Infatti aldilà delle motivazioni che li spingono ad agire, Anonymous ha il merito, a nostro avviso, di evidenziare l’inadeguatezza dei sistemi e delle strutture di governo, che nonostante le tante parole e i vari autoincensamenti, nel momento della prova mostrano la loro reale dimensione.
Non vorremo essere nei panni del Garante che ricevendo in questi giorni le varie segnalazioni di Data Breach (violazioni), anche di strutture che mai avremo pensato, dovrà indagare sul perché e per come tutto ciò sia stato possibile e chissà che oltre a qualche segnalazione o ammonimento arrivi anche una delle mega sanzioni, tanto temute dalle imprese.

Nuovo attacco di Anonymous Italia: diffusi i dati di ministeri e polizia
(di Arturo Di Corinto, “La Repubblica”, 6 novembre 2018)

LA FURIA iconoclasta degli Anonymous italiani non si arresta. Come annunciato, i tre gruppi che coordinano l’operazione “Settimana Nera” hanno diffuso anche oggi nuovi dati provenienti dalle loro incursioni in siti e database online. Nei materiali divulgati oggi ci sono nomi, cognomi, numeri di telefono email e password di impiegati e funzionari di diversi istituti del Cnr, i database di Equitalia e del Ministero dello Sviluppo Economico. Sono stati diffusi i dati, questi sì, sensibili, dei tesserati della Lega Nord del Trentino, di Fratelli d’Italia, del PD di Siena. E poi ci sono nomi e cognomi degli appartenenti ad Assopolizia da Roma a Belluno e quelli dell’Istituto Centrale per gli Archivi. Ironicamente si tratta dell’Istituto che ha il compito di elaborare standard e linee guida nazionali per la realizzazione di sistemi informativi archivistici e di banche dati digitali, evidentemente senza troppa attenzione alla sicurezza. Tra le informazioni trapelate anche i nomi degli utenti di un portale sul tema delle ferrovie e del modellismo, forse confuso con quello delle Ferrovie dello Stato.

Un fatto che ci dice due cose: gli Anonymous hanno mescolato obiettivi alti e con compiti oggi di grande attualità, ad esempio la Direzione generale per la sicurezza anche ambientale delle attività minerarie ed energetiche del Ministero dello sviluppo economico e un sito preso a casaccio. Repubblica ha potuto fare una verifica dei dati presenti nei database rilasciati da Anonymous “in the wild”, come dicono gli informatici. In effetti nomi, cognomi, telefoni e password dei lavoratori di alcuni enti attaccati presenti nei database divulgati sono reali. Nel caso dei dipendenti del Ministero dello Sviluppo Economico abbiamo potuto verificare che le password non corrispondevano tutte, ma nomi, email e numeri di telefono fisso e cellulare invece sì.

“La vulnerabilità dimostrata da diverse amministrazioni pubbliche in questi giorni è frutto di molti fattori – spiega Antonello Soro, garante della privacy – ma, soprattutto, delle modalità con le quali il processo di digitalizzazione si è sviluppato nel nostro Paese, in assenza di un piano organico e di investimenti adeguati, tanto sotto il profilo tecnologico quanto riguardo al fattore umano. Per rafforzare i confini digitali del Paese è necessaria una strategia di lungo periodo che vada oltre la mera infrastrutturazione e razionalizzi il patrimonio informativo pubblico, in particolare secondo principi di privacy by design, per ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati, quali obiettivi centrali dell’azione di Governo. La negligenza rispetto alla sicurezza informatica e cibernetica non è più tollerabile – continua Soro – in un contesto in cui le relazioni ostili tra Paesi si giocano in primo luogo sul piano digitale e in cui, anche per questo, la disciplina di protezione dati (oltre a quella sulla cybersecurity) assumono come modello d’intervento l’approccio basato sulla prevenzione del rischio. Non si tratta, evidentemente, di meri adempimenti formali, ma di misure essenziali per rendere il Paese competitivo e proteggere, unitamente alla persona, la sicurezza nazionale”.

Anche secondo il professore Rocco De Nicola della Scuola Imt, Alti studi di Lucca, esperto di formazione nella cybersecurity, “è ora che chiunque metta in piedi un sito lo faccia con una particolare attenzione alla privacy e alla sicurezza. Non è più tempo di improvvisare”.

Diversi i siti defacciati durante la “Settimana nera”. Oggi è toccato al sito di Fratelli d’Italia, la cui home page è stata sostituita con la maschera di Anonymous. La serie di attacchi, i defacement, la divulgazione di archivi di mail, nomi e telefoni dovrebbe celebrare nelle intenzioni degli attivisti la giornata del 5 novembre, la ricorrenza della Congiura delle Polveri cui partecipò il rivoluzionario inglese Guy Fawkes i cui tratti sono diventati universalmente simbolo di ribellione grazie alla maschera resa nota dal film “V per Vendetta”. E questo attacco è anche il contributo dato dagli Anonymous italiani alla Million Mask March, la marcia del milione di maschere contro abusi di potere da chiunque commessi in qualsiasi parte del mondo, oggi alle 18 a Milano in contemporanea con la manifestazione di Amsterdam. Intanto centinaia di persone mascherate da Guy Fawkes hanno già invaso le strade di metropoli e capitali come Londra e Brisbane, in Germania, in Norvegia, nelle Filippine, persino in Nepal.

Questa protesta è stata politicamente motivata fin dal primo video-comunicato del 28 ottobre nel quale gli Anonymous invitavano “il popolo” a reagire (“La paura si è impadronita di voi, ed il caos mentale ha fatto sì che vi rivolgeste all’attuale governo”) chiamando tutti all’azione: “Se vedete ciò che vediamo noi, se la pensate come la pensiamo noi, e se siete alla ricerca come lo siamo noi, vi chiediamo di mettervi al nostro fianco, e di non accettare più le menzogne e il bavaglio che ci mette lo Stato.” Ora, con il leak di oggi, hanno riaffermato che la privacy non è uno scherzo e che una società sempre più digitale è una società fragile. Per definizione.

Tagged