Il 20 ottobre 2021 le più importanti testate giornalistiche hanno riportato la notizia dell’attacco hacker che il Gruppo Everest ha portato alla Società Italiana degli autori ed editori (SIAE), cioè all’ente pubblico economico che, nel nostro paese, si occupa della protezione del diritto d’autore e delle opere d’ingegno svolgendo anche attività di intermediazione tra gli autori ed editori e i fruitori delle opere medesime.
La SIAE svolge anche attività di promozione culturale e di incentivazione alla produzione di nuove opere, nonché azioni di solidarietà e di conservazione del patrimonio artistico.
L’Ente è stata vittima di un precedente attacco informatico nel 2018.
Gli hacker del gruppo Everest che ha base in Russia e gestisce una propria rete di affiliati, sono già noti alle cronache per aver sferrato un attacco mosso nelle scorse settimane nei confronti del governo americano e per attacchi ai danni di aziende private. L’attacco ramsonware che ha consentito loro di rubare 60 GB di file contenenti sottomissioni di richieste di registrazione, documenti come tessere sanitarie, carte di identità e patenti di guida degli artisti iscritti alla SIAE è stato preceduto da episodi di phishing.
Il Gruppo Everest ha rivendicato l’attacco sul proprio data leak site che è un sito utilizzato dagli hacker per pubblicare gli annunci degli attacchi e pubblicare alcuni dei dati rubati, e, in caso di mancato pagamento del riscatto, tutte le informazioni esfiltrate dalle vittime. Dal sito emerge con evidenza anche l’interesse dell’organizzazione criminale ad estendere la propria attività mediante la ricerca di affiliati e la disponibilità ad acquisire previo compenso l’accesso a reti di grandi organizzazioni da attaccare.
La quantità di dati sottratti alla SIAE è notevole e, quindi, è verosimile ritenere che gli hacker abbiano agito indisturbati. I sistemi di cyber security implementati dall’ente, dunque, non si sono dimostrati efficaci, non avendo garantito il corretto monitoraggio del traffico.
Gli Hacker hanno chiesto un riscatto di tre milioni di euro in bitcoin per evitarne la pubblicazione e il DG della SIAE ha dichiarato di aver denunciato l’attacco alle autorità competenti, di aver informato i propri iscritti e di non essere intenzionato a procedere al pagamento del riscatto.
Resta il fatto che i dati degli iscritti alla SIAE sono in pericolo e che l’attacco potrebbe produrre un effetto domino. I dati trafugati possono consentire di accedere ad altri dati, possono essere utilizzati per porre in essere frodi e truffe online spacciandosi per uno degli iscritti all’Ente associativo.
Anche in questa occasione, dunque, è emersa con evidenza la grave sottovalutazione dei rischi connessi alla mancata implementazione di misure adeguate a garantire la sicurezza delle banche dati che, purtroppo, è ampiamente diffusa sia negli Enti pubblici, che nelle aziende private.
Tutto ciò, malgrado la tutela dei dati, soprattutto se trattati mediante gli strumenti informatici, sia al centro di diffuse campagne di sensibilizzazione e delle iniziative informative condotte dall’Autorità Garante per la Tutela della Privacy che, proprio ieri, 20 ottobre 2021, ha pubblicato un utile vademecum per la scelta e la conservazione delle credenziali di autenticazione e cioè delle password.
Nella routine quotidiana di ciascuno di noi la creazione di una password e la sua conservazione sono spesso percepite come attività banali alle quali finiamo col dedicare meno attenzione di quella che, in realtà, meritano.
Invece, la tutela dei dati con l’ausilio degli strumenti informatici comincia proprio da lì.
Le credenziali di autenticazione permettono di evitare che i dati siano accessibili a chiunque, esattamente come la chiave del cassetto o la combinazione della cassaforte dove custodiamo documenti cartacei ed oggetti importanti e pregiati.
Quindi, in primo luogo, dobbiamo applicarle per l’accesso ai dispositivi digitali che abbiamo in uso, per evitare che estranei li utilizzino quando ci allontaniamo dalle nostre postazioni.
In secondo luogo, quando scegliamo le password dobbiamo assicurarci che “funzionino” e cioè che non possano essere facilmente individuate.
A tal fine il Garante ricorda che la password:
- deve essere abbastanza lunga
- deve contenere caratteri di almeno 4 diverse tipologie (lettere maiuscole, lettere minuscole, numeri, caratteri speciali)
- non deve contenere riferimenti personali facili da indovinare e non deve nemmeno contenere riferimenti al nome utente
- meglio evitare che contenga parole “da dizionario”, di uso comune
- va periodicamente cambiata, soprattutto per e-mail, e-banking, social network.
- vanno utilzizate password diverse per account diversi
- non bisogna utilizzare password già utilizzate in passato.
- le password temporanee rilasciate da un sistema o da un servizio informatico vanno sempre immediatamente cambiate.
Il Garante fornisce indicazioni anche con riferimento alla conservazione, ricordando che le password
- non vanno scritte su biglietti lasciati “a portata di mano” oppure in file non protetti su tablet, telefoni e computer
- non vanno condivise via e-mail, sms, social network, instant messaging, ecc..
- non vanno salvate nella memoria di pc, smartphone e altri dispositivi che non ci appartengono.
- è opportuno considerare l’uso di programmi specializzati che generano password sicure e consentono di conservarle in formato digitale salvandole in un database cifrato sicuro.
Regole di buon senso che servono a prevenire ed evitare l’accesso non autorizzato ai nostri dati e il furto da parte dei cyber criminali ma che, tuttavia, difficilmente sono recepite.