EnterpriseSicurezza

Deloitte sotto attacco, pochi i danni(?) ma tanto silenzio

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Inchiesta interna in Deloitte per comprendere come si sia verificato l’attacco e il furto di dati che risale a marzo 2016. Sembra siano stati avvertiti tempestivamente solo i clienti direttamente coinvolti

L’attacco a Deloitte sarebbe avvenuto a marzo, potenzialmente alcuni dati potrebbero essere stati esposti sin da ottobre 2016, al momento sarebbero stati violati i dati di un piccolo numero di clienti. Al momento i pochi dettagli che arrivano da Deloitte raccontano che gli hacker avrebbero avuto accesso ai dati (potenzialmente anche username, pasword, indirizzi IP, diagrammi delle architetture di business e informazioni relative alla salute) tramite la piattaforma email dell’azienda, confermando i dettagli del The Guardian, che ha svelato lunedì l’attacco.

L’80 percento dei clienti Deloitte fa parte della classifica Fortune 500, si tratta di dati sensibili di aziende che operano in ambito finanziario, retail, ma vi sono anche realtà deputate alla stesura di norme e regolamenti. E hanno denunciato violazioni realtà come l’Exchange Commission di Wall Street, Equifax e la U.S. Securities. Il Guardian afferma che Deloitte ha immediatamente contattato i suoi clienti dopo il furto di informazioni, per un totale di sei clienti. Evidentemente solo i clienti certamente coinvolti.

Al di là di cosa sia veramente accaduto, cosa che sembra ancora poco chiara, sia per la discrezione delle vittime, sia per la discrezione di Deloitte, questo ennesimo furto di informazioni mette in evidenza alcune cose.
Prima di tutto viene confermato l’atteggiamento generale a non rivelare nulla, fino a che le cose non vengono a galla tramite indagini/inchieste.

GDPR - L'ideale sarebbe un'immediata comunicazione delle proprie vulnerabilità e violazioni in modo da tutelare non solo i clienti coinvolti ma tutti i propri clienti e la comunità
Deloitte e la prospettiva del GDPR – L’ideale sarebbe un’immediata comunicazione delle proprie vulnerabilità e violazioni in modo da tutelare non solo i clienti coinvolti ma tutti i propri clienti e la comunità

Un atteggiamento questo che vorremmo non constatare più in futuro, anche in relazione al GDPR. Intendiamoci, dalle prime informazioni Deloitte si è comportata semplicemente come avrebbe fatto qualsiasi altra realtà, avvertendo solo i diretti interessati.

Noi pensiamo invece che sia doveroso e di rigore comunicare fatti di questo tipo alla collettività, perché anche altri clienti NON violati, avrebbero potuto esserlo, ma anche perché se un’azienda stesse per entrare in relazione con Deloitte, o stesse per affidarsi ai suoi servizi, avrebbe tutto il diritto di conoscere le cose quando accadono, invece sono state svelate dagli organi di stampa.
Parliamo di informazioni potenzialmente esposte da ottobre 2016, l’attacco alle quali è stato riconosciuto a marzo e di cui si viene a conoscenza a settembre 2017.

Deloitte avrebbe tutto da guadagnare ora dal massimo atteggiamento di trasparenza, e siamo convinti anche in futuro dall’immediata comunicazione di fatti come questo. Sarebbe l’ideale cui tendere anche dei nuovi regolamenti.