L'(in)sicurezza informatica facilita i dossieraggi: certificazioni sempre più spesso dimenticate

L'allarme è di Giuseppe Izzo, uno dei massimi esperti in Cybersicurezza e lead auditor ISO 27001: "Nessuno -spiega- mette in pratica quanto previsto nei sistemi di gestione". Le certificazioni insomma restano sulla carta e questo agevola azioni fraudolente e gli attacchi dei pirati informatici. A rischio, la tenuta democratica del Paese...


"Sa qual è il problema? Il problema è che in Italia di sicurezza informatica si parla tanto, ma poi nessuno applica quello che prevedono le certificazioni ottenute". Giuseppe Izzo è uno dei massimi esperti in Cybersicurezza e Ceo di UESE Italia, una Spa leader nel settore: "L'80% degli uffici pubblici e delle aziende private è in regola con la documentazione, ma purtroppo le procedure indicate su quei pezzi di carta non vengono quasi mai attuate, contravvenendo peraltro alla Direttiva europea denominata NIS2, in vigore dal 16 Gennaio 2023, che invece impone di adottare gli strumenti necessari per garantire il normale svolgimento delle attività. Ed è in questo quadro che nasce la possibilità di contravvenire alle regole e di acquisire informazioni riservate su fatti o persone".


Lo scandalo sui dossier facili è figlio dunque di procedure che non vengono rispettate: "I gestori delle reti e i fornitori di connettività - continua Izzo - forniscono un servizio impeccabile in termini di sicurezza della rete fino al punto di consegna presso le organizzazioni. Nel caso in cui vengano forniti apparati TIR (Terminazione Intelligente di Rete) in gestione e manutenzione del carrier, è imperativo che tali dispositivi siano securizzati e protetti da accessi illegali sia dalle reti esterne WAN, che dalla rete interna LAN. Quindi, le difficoltà sorgono quando i dati devono essere gestiti da uffici pubblici o aziende private, soprattutto di grandi dimensioni. Ogni azienda, indipendentemente dalla sua natura, dovrebbe implementare una governance che garantisca il rispetto delle regole stabilite dalla certificazione ISO/IEC 27001:2022. Attualmente, la maggior parte delle informazioni, anche quelle più riservate, sono memorizzate in Cloud, pertanto è essenziale attivare le opportune contromisure per limitare l'accesso solo ai soggetti autorizzati appartenenti ai vari uffici competenti".


In un Paese civile insomma, dove la sicurezza informatica sia davvero considerata una priorità, non è dunque ammissibile che a quei dati si possa accedere comodamente da casa, senza protezioni: "Se lo si fa e se lo si è fatto nel caso dello scandalo di questi giorni -commenta Izzo- vuol dire che qualcuno ha fatto carta straccia di ogni norma in materia di cybersecurity, ma direi, anche di ogni regola di buon senso. Accedere da computer non autorizzati non solo permette di acquisire informazioni che si potrebbero ottenere solo per giustificati motivi di lavoro, ma farlo apre comode autostrade ad azioni di hackeraggio. Non bisogna allora stupirsi che il 40% delle realtà pubbliche e private siano, ogni giorno, bersaglio dei pirati informatici", problema non solo delle aziende italiane, vedi anche gli attacchi volumetrici subiti dai servizi dello Stato francese.


In ogni caso insomma è a rischio la tenuta democratica del Paese: "Senza entrare nel merito dell'inchiesta -continua Izzo- fa specie che qualsiasi funzionario possa ottenere informazioni su una persona sgradita, ma è altrettanto grave che non si pongano rimedi per fermare azioni fraudolente. Gli hacker entrano, con grande facilità anche dalle periferiche, fanno razzia di dati, depositano pacchetti e poi chiedono il riscatto.

Questo vale per il mondo sanitario, industriale ma anche per quello bancario. Alla fine a essere colpiti sono i cittadini che, ignari, cadono in tranelli sempre più raffinati. Per questo -conclude Izzo- sono dell'idea che sia necessaria una vera e propria rivoluzione culturale che non lasci più sulla carta procedure che invece dovrebbero essere attuate davvero. Un po' come accade per la sicurezza del lavoro: le aziende, almeno quelle più responsabili, hanno tutta la documentazione, prevista dalla legge, in regola. Ma poi, quando scappa il morto, ci si accorge che le certificazioni erano l'esecuzione di un compitino mai portato a termine nei cantieri".