Il colpo al cuore della privacy USA passa per il la fuga di dati della Equifax, l’agenzia di credito USA oggetto del furto dei dati di 143 milioni di cittadini: circa il 44 per cento della popolazione totale degli Stati Uniti. I dati sottratti sono sensibili poiché riguardano nomi e cognomi, numeri della previdenza sociale, date di nascita, indirizzi, numeri di patente di guida e in qualche caso anche dati delle carte di credito.
Anche se l’agenzia ci ha tenuto a precisare che “i dati più sensibili” sono rimasti al sicuro, preme precisare e sottolineare che il tipo di dato sottratto è assolutamente sufficiente a perpetrare frodi e truffe mediante furto di identità: e poiché taluni dati sono non modificabili (si pensi al numero di previdenza sociale), il danno è ancora più gravoso e l’impatto potrebbe protrarsi nel tempo.
L’agenzia ha messo a disposizione un sito web per la verifica delle credenziali rubate: ma anche questa pagina non sembra avere le opportune misure di sicurezza di base (in tema di certificato digitale del sito), come sottolineato da alcuni esperti di informatica e di sicurezza. Oltre alle eventuali lacune di sicurezza che hanno permesso la sottrazione dei dati, sono considerate una significativa mancanza sia la tempistica della scoperta avvenuta a luglio (oltre due mesi dopo la violazione reale avvenuta a maggio), sia il momento della comunicazione al pubblico avvenuta solo a settembre e contemporanea alla disponibilità del sito per la verifica. Nel lasso di tempo tra maggio e settembre i dati sarebbero potuti essere oggetto di abuso all’insaputa dei clienti.
Attacchi recenti
Qualcosa di simile era avvenuto anche in Italia lo scorso luglio, quando Unicredit aveva scoperto un furto di dati relativi a informazioni su prestiti personali risalente nelle frasi iniziali al periodo fra settembre e ottobre 2016, e che coinvolgeva circa 400mila clienti italiani: la causa, in quella circostanza, pareva legata alla compromissione dei servizi di un partner della banca. L’azienda si era affrettata a precisare che le credenziali di accesso ai conti bancari erano rimaste al sicuro, ma non ha mai potuto escludere completamente che dati anagrafici ed IBAN non fossero stati sottratti. E purtroppo questi ultimi tipi di dato sono utilizzabili per piccole truffe ai danni di finanziarie, mediante richieste online di piccoli prestiti con cifre di soglia minima normalmente coperta dalle polizze assicurative: elemento che spesso scoraggia anche le denunce alla polizia.
Ma Unicredit è stata solo l’ultima di una lunga serie. Basti pesare che nel Regno Unito solo nel 2016 si è verificato un attacco a settimana contro i cinque del 2014, secondo quanto riportato dall’ultima ricerca condotta dal Financial Conduct Authority (FCA), che ha anche varato un programma specifico per la cyber resilience divulgando anche una infografica di sintesi per l’ambito bancario con dati e misure di cybersecurity suggerite.
In ordine di tempo l’ultimo episodio ha riguardato Raffsein Bank, oggetto di una campagna di phishing basata su di un malware per Android veicolato mediante SMS, spam e pagine web. La campagna cerca di ingannare le persone spingendole a compilare con le loro credenziali di registrazione un modulo su di un sito civetta, che sembra assolutamente identico al sito originale della banca svizzera. L’accesso da mobile che molti utenti bancari utilizzano non evidenzia in modo specifico la URL contraffatta, molti utenti non fanno caso al diverso indirizzo web, cadendo vittima dell’esca, scaricando il malware senza ulteriori controlli e verifiche e ritrovandosi infettati.
Consapevolezza e prontezza
Non si deve tuttavia pensare che i responsabili restino sempre impuniti. Ne è un significativo esempio il caso di Daniel Kaye, 29 anni, recentemente estradato dalla Germania per affrontare le accuse del Regno Unito: avrebbe ricattato i Lloyds con una serie di cyberattacchi DDOS (perpetrati mediante la botnet Mirai) che a metà gennaio avevano interessato i Lloyds stessi, Halifax e la Bank of Scotland e forse anche Barclays Bank. Il riscatto richiesto per fermare l’offensiva era pari a 75mila sterline al cambio attuale in bitcoin: i Lloyds, però, dopo il contenimento e la gestione dell’incidente che ha anche garantito la continuità dei servizi bancari, hanno anche collaborato attivamente con gli investigatori per fornire informazioni utili ad identificare il responsabile.
Questo caso dimostra come una significativa consapevolezza dei rischi di sicurezza digitale (awareness) unita alla prontezza di intervento durante l’incidente(readyness) e all’adozione di contromisure atte a ridurre il rischio e a mantenere la continuità del business (resilience) possono significativamente fare la differenzarispetto ai casi sopracitati. Certamente un attacco DDOS è diverso dal una fuga di dati, ma le misure di sicurezza successive ad una valutazione dei rischi possono evidenziare le aree più critiche da difendere tanto per gli attacchi che mirano ad interrompere i servizi, quanto quelli che puntano a sottrarre i dati.
Si ricorda infine che proprio l’approccio orientato al rischio, e l’adozione di specifiche misure di sicurezza, sono previste sia dal nuovo Regolamento della privacy Europeo, il Global Data Protection Regulation (GDPR) che richiede la protezione dei dati in funzione della tutela della Privacy, sia dalla nuova direttiva europea in materia di cybersecurity, la Network and Information Security (NIS). Da maggio 2018 scatteranno obblighi precisi di denuncia tempestiva delle violazioni di sicurezza che prevedono anche sanzioni economiche in caso di mancato adempimento, che si aggiungeranno al solito danno reputazionale e alla perdita di fiducia dei clienti che già oggi costituiscono le conseguenze tipiche di qualsiasi incidente. Non è il caso quindi di archiviare superficialmente la questione con un laconico “tanto in Italia non succede”. Per fortuna l’ambito bancario ha iniziato a reagire, facendo sistema e puntando sulla condivisione delle informazioni ed esercitazioni specifiche sulla materia.