CyberwarSicurezza

Attacco a Unicredit, il futuro dell'”insicurezza” è già qui

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Nella notte tra il 24 e il 25 luglio Unicredit ha rilevato la violazione dei dati di 400mila clienti. La nuova normalità passa da uno stato di insicurezza permanente

Violati i dati di 400mila clienti Unicredit – dati anagrafici, indirizzi email, numeri di telefono e codici IBAN – ma non l’accesso ai conti, né le password, quindi senza possibilità di effettuare transazioni non autorizzate. Questo è accaduto nel periodo settembre/ottobre 2016 e poi ancora tra giugno/luglio 2017.

L’ accesso ai database dell’azienda è avvenuto attraverso un patner commerciale di Unicredit, esterno, italiano (vende ai clienti i prestiti al consumo del gruppo Unicredit). Ora Unicredit contatterà i propri clienti attraverso canali sicuri (né posta elettronica, né telefonate dirette per evitare episodi di phishing) e intanto si formalizza l’esposto presso la Procura della Repubblica di Milano. Questi i fatti.

Più nel dettaglio è bene aggiungere, prima di argomentare, che la società partner (attraverso cui è stata effettuata la violazione) dispone di un accesso a uno dei sistemi informativi di Unicredit per la verifica dei clienti, e proprio attraverso una schermata dell’applicazione, utilizzata dagli autori del crimine informatico, sarebbero stati consultati i dati dei clienti, probabilmente sfruttando un’applicazione in grado di scansionare ad alta velocità i record.
L’allarme in Unicredit è stato dato nella notte tra il 24 e il 25 luglio, nel corso dei consueti controlli periodici.

Ci sono tutti gli ingredienti, non tanto dell’attacco perfetto, quanto di quelli che i vendor di sicurezza da tempo sottolineano siano metodi collaudati e definiti.

E cioè: siamo di fronte a un attacco sostanzialmente “quasi dall’interno” (è avvenuto tramite un partner di business); è sostanziale il ritardo nel rilevamento della violazione (la prima); sono state utilizzate tecniche avanzate di scansione silenziosa delle informazioni; almeno in queste prime fasi si può rilevare la volontà di carpire dati, la possibilità di fare anche danni maggiori, ma nessuna compromissione finanziaria, quindi con una buona strategia di mascheramento per non essere scoperti nel breve termine (lo svuotamento dei conti avrebbe generato un allarme precoce).

E’ questo il futuro prossimo che è già qui. Se pensiamo a gli sforzi regolamentativi (e anche alla complessità del GDPR), e alla tutela dei dati, all’emergenza sicurezza (e non solo informatica), alla precarietà percepita in ambiti molteplici del vivere quotidiano, è possibile capire come la sicurezza informatica non sia più tale, ma sia semplicemente “sicurezza” tout court.

GDPR

Il GDPR, i cui effetti definitivi non sono ancora in vigore, prevede all’articolo 33 il vincolo di denuncia delle violazioni per le aziende con la seguente formula: “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.

Le regole, in primis proprio il GDPR, specificano l’obbligo per l’impresa di denunciare violazioni, senza ritardi, e possibilmente entro 72 ore dal momento in cui se ne è venuti a conoscenza. Potremo contare su procedure che escludono la possibilità di nascondere l’accaduto, ma realmente, e ancora una volta, chi potrebbe garantire che davvero una semplice violazione sia denunciata, come per fortuna è avvenuto in questo caso?

Se prima l’assalto alla diligenza era annunciato dagli spari in aria, ora invece il silenzio e l’invisibilità per gli hacker sono armi decisamente più efficaci e bisognerà dimostrare di aver fatto di tutto anche per rilevare il più sottile rumore informatico di fondo. I vendor propongono i sistemi di AI sì, ma non basteranno perché saranno a disposizione anche degli attaccanti. 

Naturale che le previsioni di spesa per gli anni a venire degli analisti mostrino come il comparto sia destinato a crescere. Si tratterà però di un mercato che non risponderà per nulla al criterio “soddisfatti o rimborsati”, perché i vendor possono garantire le tecnologie, ma dietro di esse ci sono gli uomini che sbagliano, anche senza volerlo. La sicurezza al 100 percento non può esistere, l’insicurezza al 100 percento sì ed è quella del momento in cui viviamo e quella del momento in cui vivremo.