Il Comune di Cervia è sotto attacco informatico e quello di Frosinone ha subito una violazione della casella di posta certificata dell’Ufficio di piano del Distretto sociale B (di cui l’amministrazione è capofila).
In entrambi i casi la polizia è stata destinataria delle relative denunce della violazione subita.
Ma in questo caso gli attacchi sono fine a se stessi o compromettono la sicurezza dell’intero sistema che i Comuni sono chiamati a gestire?
“Le violazioni di dati massive che colpiscono una Pubblica Amministrazione, come nel caso dei Comuni di Cervia e Frosinone, purtroppo gettano anche le basi per altri cyber attacchi: infatti – spiega Francesco Faenzi, Direttore della Business Unit Digital Trust di Soft Strategy – forniscono ai cyber criminali una serie di informazioni utili (ad esempio codice fiscale, numeri di telefono, mail, informazioni riguardanti l’identità digitale) per compiere altri reati. Si tratta di una miniera d’oro a cielo aperto per ogni malintenzionato”.
“Inoltre – prosegue Faenzi – non solo le informazioni personali, ma anche tutte le informazioni operative dell’Amministrazione possono essere vitali per attacchi di cosiddetta ingegneria sociale, ovvero per ingannare il personale e indurlo a fornire informazioni che rendono attaccabili loro stessi, l’Ufficio o l’Istituzione presso cui operano, eventualmente anche i cittadini serviti. Nella pratica, si pensi alla violazione di dati delle Amministrazione Comunali appena coinvolte: l’accesso a tutte le pratiche dei residenti permetterebbe ad un criminale informatico di impersonare un addetto ai lavori e di ingannare facilmente una vittima terza, facendo riferimento alle informazioni depositate al Comune. In generale, una violazione di questo genere di una Pubblica Amministrazione può potenzialmente indebolire tutta la catena, dall’Istituzione al cittadino”.
È possibile tutelarsi?
“Per ridurre la propria esposizione ed attaccabilità – spiega ancora Faenzi –, ogni Amministrazione dovrebbe adottare politiche di protezione dei dati contestualizzate sulla tipologia dei dati in proprio possesso. Sulla base di queste politiche, le tecnologie utilizzate dall’Amministrazione dovrebbero essere sempre sottoposte a rigide procedure di hardening (una sorta di blindatura informatica), risoluzione delle vulnerabilità (il cosiddetto patching), sempre in linea con criteri di analisi del rischio e sulla base della criticità della informazioni trattate. Oltre a questo e all’uso di tecnologie ad hoc per la sicurezza, oggi è fondamentale l’adozione di processi di automatizzazione che verificano quotidianamente il rispetto delle politiche di protezione dei dati e che limitano l’errore o il ritardo di intervento manuale. In questo modo si riduce l’esposizione al rischio cyber della PA, si abbassa la probabilità di violazione massima di dati (personali, quindi di cittadini e/o di operatori della PA) ed in ultima analisi si limitano le fonti e le informazioni che i cyber criminali utilizzano per rendere i loro attacchi sempre più personalizzati sulla vittima e pertanto sempre più efficaci contro i cittadini”.