Cerca e trova immobili
Stéphane Koch, esperto di sicurezza online, giudica «drammatico» il fatto di poter trovare dati personali sul darkweb
GINEVRA - «I dati personali che si trovano sul darkweb costituiscono probabilmente l'elemento più grave dei recenti cyber attacchi». Il giudizio è di Stéphane Koch, specialista in cyber sicurezza, consulente e vice-presidente della società ImmuniWeb. Lo specialista, contrariamente ai responsabili di certi enti hackerati, non minimizza la portata degli elementi messi online dai pirati informatici.
Perché è così grave che i dati personali vengano divulgati sul darkweb?
«Se prendiamo il caso del comune di Rolle, i dati dei cittadini si possono trovare online. Il problema è che, contrariamente al web tradizionale, è impossibile garantire che vengano cancellati. E sono estremamente sensibili: contengono tutte le informazioni necessarie per intraprendere tentativi di phishing, e la possibilità di truffare qualcuno usurpando la sua identità».
La capacità degli enti hackerati di ripristinare i dati non risolve dunque il problema?
«I cybercriminali hanno capito che le aziende hanno creato dei processi di continuità di dati, che permettono loro di recuperarli. Dunque oggi si attaccano alla loro reputazione. La raccomandazione, a livello svizzero, è di non pagare un riscatto. Ma io direi: dipende. Quando si tratta dei dati dei cittadini mi sembra che la decisione non riguardi solo i comuni o le aziende prese di mira».
Quale dovrebbe essere la risposta delle autorità di fronte a questo nuovo fenomeno?
«La Svizzera non dovrebbe forse dotarsi di un sistema di assicurazione obbligatoria, dal momento che la responsabilità non è dei cittadini derubati? L'assicurazione malattia è obbligatoria. Bisogna che ci sia una corrispondenza tra il mondo digitale e il mondo fisico. In casi di attacchi, seguiti da una divulgazione di dati, un accompagnamento dei rischi su lungo termine è necessario. Si tratta di limitare i danni dando assistenza alle persone. Bisogna mappare, catalogare tutti i dati rubati, sapere chi concernono, avvertire gli istituti bancari ai quali le persone sono affiliate, ecc. L'ente piratato deve analizzare tutti i dati, informare i cittadini con trasparenza, al fine d'informarli su tutti i rischi.
Ma è una cosa enorme! Una PMI o un comune può permettersi di farlo?
«È responsabilità dell'ente hackerato, non sono gli utenti ad aver commesso un errore. Torno all'idea dell'assicurazione. Le aziende si assicurano contro i furti o i sinistri. Perché allora non contro gli attacchi hacker? Non è la mole di lavoro che deve far decidere a un'impresa se farlo o meno».
Le autorità possono venire in aiuto?
«Il problema, in Svizzera, è il nostro lassismo. Se lo fossimo meno, certe aziende avrebbero forse dovuto pagare, ma forse affronteremmo anche meno attacchi. Esiste una questione di responsabilità, e le autorità devono pensare alla possibilità di condurre audit di sicurezza, così come avviene per la contabilità. Si vuole ricorrere all'e-voting o all'ID elettronico, ma lo Stato non è all'altezza di ciò che pubblicizza».
Sta tutto nel fatto che PMI sono sprovviste...
«Sono sprovviste perché non hanno l'obbligo del contrario. In Svizzera si cerca di mantenere al minimo l'onere amministrativo, perché è visto come un freno all'economia. Ma la pirateria ha anche un costo economico. Le aziende non hanno capito che in questo caso l'onere amministrativo è economicamente vantaggioso a lungo termine».
È possibile che una persona, a sua insaputa, sia stata la porta d'accesso ai recenti attacchi?
«Sì, è plausibile, ma solo un'inchiesta di polizia può stabilirlo. Una persona può essere, a sua insaputa, la porta d'accesso di differenti attacchi informatici, perché per installare dei ransomware, il fattore più facile da attaccare è il fattore umano. Possono essere persone che hanno lavorato in diversi stabilimenti e che sono serviti da passerelle ai pirati. È sintomatico dei problemi ai quali siamo confrontati. Proteggere le persone non è più sufficiente, bisogna anche educarle: avere una bella auto e una bella assicurazione non serve a niente se non sappiamo guidarla. La conoscenza permette di limitare i rischi. Se non comprendiamo l'impatto dei propri dati personali, perdiamo la capacità di scelta. E tanto più con il telelavoro».
