Accessi Indebiti alle banche dati e illusioni digitali

Accessi Indebiti alle banche dati e illusioni digitali

1 dicembre 2024

di Massimo BALDUCCI

            L’attenzione dei media è stata concentrata di recente su alcuni casi di accessi indebiti a banche dati contenenti dati sensibili. Il Ministro della Difesa on. CROSETTO e, successivamente, la Presidentessa del Consiglio on. MELONI hanno avanzato il dubbio di possibili complotti ai danni del Centro Destra.

I  casi riportati con enfasi dai media e cui facciamo riferimento sono quattro: un funzionario della Guardia di Finanza operante a L’Aquila, un funzionario di una filiale pugliese di Intesa San Paolo,  una inchiesta della Procura di Milano su varie aziende che, avvalendosi anche di ex funzionari dello Stato, avevano recuperato dati sensibili per farne commercio e un giovane hacker che sembra sia riuscito ad entrare nei sistemi dell’amministrazione della giustizia.

Indipendentemente dall’esistenza o meno di complotti la domanda cui si dovrebbe cercare di dare risposta e a cui si è prestata, sui media, una attenzione secondaria è: “ma come è stato possibile?”

            L’unica risposta a questa domanda che è stata “abbozzata” invoca la mancanza di controlli da parte della catena gerarchica. Si afferma che i superiori del finanziere operante a L’Aquila e del funzionario di Intesa San Paolo in Puglia avrebbero dovuto controllare i loro subordinati e insospettirsi alla vista di un numero così elevato di accessi.  Su questo punto va fatta una prima considerazione.

  1. Nella cultura organizzativa del nostro Paese, quando non si sa quale soluzione prospettare, si chiama in causa la gerarchia.
    • Non riusciamo a capire che il dirigente poliziotto non riuscirà mai a dirigere, cioè a dare una direzione alle attività aziendali, ma riuscirà solo a bloccare ogni attività.

Qui quella che è venuta a mancare è una regolamentazione degli accessi alle banche dati e un conseguente meccanismo di reporting adeguato. Più in generale è mancata la consapevolezza che la digitalizzazione avrebbe dovuto richiedere una generale revisione dell’architettura della gestione del dato. In assenza di informatica il funzionario pugliese di Intesa San Paolo non sarebbe mai riuscito ad avere accesso ai conti dei clienti di una filiale diversa da quella in cui è impiegato. Il passaggio alla gestione informatica avrebbe dovuto prevedere meccanismi di selezione agli accessi ai vari conti e meccanismi automatici di reporting.

            È mancata inoltre la consapevolezza che, cambiando il supporto su cui stanno le informazioni (che non sono più sulla carta ma su supporto magnetico) andrebbero adottati meccanismi adatti al nuovo supporto. Innanzi tutto cambiano gli esseri umani che hanno accesso ai dati: non più archivisti ma tecnici informatici. Se prima bisognava tener sotto controllo l’archivista oggi bisogna tener sotto controllo il tecnico informatico. Tecnico informatico che, molto spesso, non dipende dall’amministrazione ma da una ditta di hardware e/o software.

  • Se il dato ha un qualche valore, chi ha accesso al dato sarà indubbiamente tentato di impossessarsene per farne commercio, indipendentemente dall’esistenza di complotti.

Si è pensato di sottoporre i tecnici privati che gestiscono l’hardware e il software delle banche dati agli stessi checks di sicurezza (controlli bancari, sugli accessi telefonici etc. quello che viene definito il nulla osta sicurezza) cui sono sottoposti i pubblici funzionari che gestiscono situazioni critiche

            Accedere ad archivi informatici può risultare più semplice che accedere ad archivi cartacei. Andrebbe valutata l’opportunità di separare gli archivi informatici dalla rete. Le grandi imprese che operano su vasti territori, quando devono condividere dei dati sensibili con un alto valore non si affidano alla rete ma inviano il dato su disco tramite un proprio addetto che lo consegna di persona. In passato oggetto di attenzione erano i traduttori che venivano a conoscenza di dati riservati per il loro lavoro. Oggi l’attenzione sui traduttori si è abbassata e sono aumentati gli hackeraggi dei computer dei traduttori semplicemente perché questi computer sono inopinatamente on line

            Quella di separare i supporti su cui sono domiciliate le banche dati dalla rete sembra essere una precauzione ignorata da molti. Non ci si vuol rendere conto che una qualsiasi corazza (protezione) prima o poi viene perforata. La gestione del rischio deve prevedere due misure: 

  1. (i) separare l’involucro da proteggere (la banca dati) dall’ambiente da cui potrebbero arrivare le cannonate (cioè dal web da cui potrebbero arrivare gli attacchi degli hackers);
  2. (ii) parcellizzare i dati su più banche dati in modo che, un eventuale ackeraggio può colpire solo una parte limitata del sistema; si tratta di trasferire in ambiente informatico il principio militare della distribuzione e parcellizzazione  sul territorio delle risorse militari in modo da evitare che il nemico le possa colpire tutte con un solo tiro.

            Questi due principi sembrano essere ignorati nel nostro Paese. L’idea di separare fisicamente il supporto su cui sono collocate le banche dati dalla rete è ignorato. Il principio della distribuzione  e parcellizzazione delle banche dati è addirittura contrastato. Sulla base della  determina Agid 408 del 2018  tutte le Pubbliche Amministrazioni devono  aver trasferito i loro servizi e dati in alternativa o su così detti clouds qualificati entro il 2026 (Determinazione 628/2021(1), e relativo Allegato A e il Regolamento ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024(2)) o sul Polo Strategico Nazionale, andando di fatto a determinare una concentrazione delle banche dati che non può non far gola ad hackers professionali. Attualmente le nostre pubbliche amministrazioni sono ca. 35.000. Bloccare la banca dati di una di queste 35.000 amministrazioni rappresenta un danno infinitamente minore di quello che potrebbe rappresentare il blocco di un cloud che magari contiene i dati di 300 amministrazioni o addirittura il Polo Strategico Nazionale.

            Sospettiamo che qui entri in gioco un pericoloso mix che mette insieme:

  1. l’ignoranza della nostra pubblica amministrazione (che considera l’informatica  uno strumento magico, per cui basta acquistare un po’ di hardware e di software per organizzarsi bene);
  2. con l’aggressività commerciale di certi fornitori di informatica che, pur di vendere, promettono la luna, approfittando della dabbenaggine del cliente.

Viene in mente il recentissimo caso del check in on line richiesto, sino a poche settimane fa, a chi avesse fatto un biglietto on line su un treno regionale di Trenitalia. Un biglietto on line è un biglietto nominativo valido per un treno specifico  (non per un percorso ed una data). Non si capisce quale funzione avrebbe dovuto svolgere il check in on line se non quella di staccare una fattura a Trenitalia. Ci sono voluti mesi di proteste, dovute anche alla inaffidabilità del sistema che rendeva spesso impossibile effettuare il check in, perché ci si rendesse conto che il meccanismo svolgeva la sola funzione di fonte di reddito per i fornitori.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) AGID, Determinazione 628/2021, e relativo Allegato A, Regolamento recante i livelli minimi di sicurezza”, 15 dicembre 2021

(2) ACN, Agenzia per la Cybersicurezza Nazionale, Regolamento ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024

Related Items

NIS2 PER LE PMI. IL LIVELLO MINIMO DI CYBERSICUREZZANis2 per le PMI. Il livello minimo di cybersicurezza
Continua a leggere
Francia: Modello Anticorruzione. Come mantenere il livello raggiunto senza introdurre nuove normeFrancia: Modello Anticorruzione. Come mantenere il livello raggiunto senza introdurre nuove norme
Continua a leggere
Maxi-Multa per Experian: L'Autorità Olandese per la Privacy Infligge una Sanzione Record per Violazione dei Dati PersonaliMaxi-Multa per Experian: L'Autorità Olandese per la Privacy Infligge una Sanzione Record per Violazione dei Dati Personali
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *