I clamorosi casi di dossieraggio sui politici hanno acceso i riflettori sul tema sul confine tra lecito e illecito nell’attività di ricerca di informazioni ad opera di agenzie di investigazione privata, operatori OSINT e altre figure sempre più vicine al mondo della vigilanza privata e del security management. Fin dove può spingersi un operatore privato nella ricerca di informazioni da fonti più o meno aperte e più o meno lecite? Un punto è certo: non può avvalersi di gole profonde.
Che appartengano a forze dell’ordine, agenzia delle entrate, tribunali, banche o ospedali, poco cambia: un dipendente infedele che lucra sulle informazioni delle quali è in possesso va perseguito, e con lui tutta la catena informativa partendo da chi quel servizio ha richiesto, anche se è il CEO di una mega azienda. Spetta al security manager saper dire dei no forti e chiari.
Per metterci una pezza, l’Agenzia per la cybersicurezza nazionale ha elaborato delle linee guida per contrastare il rischio di accessi abusivi, sia da parte di insider (dipendenti infedeli) sia da minacce esterne. L’ACN rileva che le tecniche utilizzate per realizzare, su mandato dei propri clienti o su richiesta di affiliati, report e dossier contenenti informazioni abusivamente raccolte, si possono sintetizzare in tre categorie: 1) ottenimento di informazioni per probabile corruzione di pubblici ufficiali; 2) installazione di software per il controllo remoto (RAT) da parte di persone collegate alle aziende coinvolte magari con contratto di manutenzione; 3) installazione di software per il controllo remoto su postazioni di lavoro.
Che le reti della PA siano facilmente aggredibili, al di là delle gole profonde, lo dimostrano le gesta di Carmelo Miano, che ha bucato il Ministero della Giustizia tenendo in pugno le credenziali di diversi magistrati, o di Vincenzo Coviello, dipendente infedele di Intesa Sanpaolo entrato nell’area vip della clientela bancaria. Al di là delle leggerezze di magistrati, che pare non utilizzassero nemmeno un sistema di autenticazione multifattore (sic!), e senza entrare nei dettagli delle diverse vicende, non è certo un mistero che la PA non sia ben protetta sul piano informatico. Se a questo si aggiungono corruzione e infedeltà, la frittata è fatta.
Le misure di sicurezza suggerite dall’ACN sono abbastanza minimali ma pongono attenzione ai rischi connessi alla supply chain, al controllo degli accessi privilegiati, alla formazione del personale amministrativo e alle attività di monitoraggio e auditing interno: lo alleghiamo.
Essendo però a Natale, eviteremo di chiederci chi controlla il controllore.
