Una montagna di dati preziosi, anche se non relativi ad Iban bancari, racchiusi in 60 gigabyte. Una miniera d’oro per gli autori, la gang Everest Ransomware, dell’attacco informatico a SIAE. Ora possono vendere questi dati ad altri cybercriminali. O utilizzarli per provare ad effettuare nuovi tentativi di truffa ai danni dei dipendenti ed iscritti SIAE o anche procedere con furti d’identità.
Ed il direttore generale di SIAE non ha compreso la gravità della fuga dei dati. Dimostra una scarsa consapevolezza del vero valore di tutti i dati, non solo finanziari.
Il dg di SIAE: “Per fortuna sottratti solo dati anagrafici e dati di molti nostri dipendenti”
“Per fortuna non sembrerebbe esserci dati economici relativi ad Iban bancari, solo dati anagrafici, come carte d’identità, codici fiscali, e dati di molti nostri dipendenti”. È la dichiarazione, con tono tranquillo, del direttore generale di SIAE Gaetano Blandini rilasciata al TG1, ed anche alle agenzie di stampa, dopo aver comunicato, ieri 20 ottobre, l’attacco informatico subìto due giorni prima ai danni del sito e parte del database della società che gestisce i diritti di artisti del mondo dello spettacolo e della cultura. Un data breach con 28mila schede, contenenti i dati sensibili, principalmente, nei dipendenti e dei nuovi iscritti a SIAE. Parliamo di carte d’identità, codici fiscali, email, indirizzi di residenza, fino ai brani musicali depositati – quasi tutti inediti.
Una Siae ‘stonata’ in cybersecurity, è anche questa l’immagine che sta emergendo. E il suo presidente Giulio Rapetti Mogol, nell’intervista a La Stampa, dopo aver ribadito “non si dice sì a un riscatto” e preoccupato per i crescenti attacchi informatici “se sono riusciti a colpire noi nessuno può dirsi al sicuro”, si lascia andare ad aneddoti sulla sua vita personale: “Faccio tre ore di ginnastica pesante 3 volte la settimana, e gli altri giorni 500 addominali. Si ricordi: quando ci vedremo, lei deve toccare i miei muscoli. Ho scritto un testo: ‘Giovani si diventa’.
Mentre 28mila schede (potrebbero essere anche di più) contenenti i dati sensibili di dipendenti ed iscritti SIAE sono oggetto di un attacco informatico, con il reale rischio di finire in mani sbagliate, il presidente della società si lascia andare ad un’intervista anche di colore.
I commenti degli esperti
Stefano Zanero (Politecnico di Milano): “Stupore nel sentire che sono stati sottratti ‘soltanto’ dati personali. E poi necessariamente i dati posti in vendita sono gli unici ad essere stati trafugati”
“A parte lo stupore nel sentire che sono stati sottratti ‘soltanto’ dati personali, c’è un’altra cosa che mi colpisce. È sempre molto difficile circoscrivere il perimetro di un attacco informatico, e mi sorprende che si possa affermare con tanta sicurezza quali dati sono stati trafugati e quali no. Non necessariamente i dati posti in vendita sono gli unici ad essere stati trafugati”, ci spiega Stefano Zanero, professore associato di “Computer Security” e “Digital Forensics and Cybercrime” al Politecnico di Milano.
Andrea Lisi (Anorc): “Si dovrebbe solo provare vergogna per quanto successo, ma ancora la protezione dei dati personali è una scocciatura burocratica e la cybersecurity roba da nerd”
“Non comprendere ancora oggi, a 5 anni dall’entrata in vigore del GDPR, la gravità di quanto successo e non saperne comprendere la portata in termini economici (e non solo di immagine come improvvidamente dichiarato dal DG di SIAE), mi lascia stupefatto”, commenta l’avv. Andrea Lisi, esperto in diritto dell’informatica e privacy.
“La diffusione di dati di un archivio digitale come quello di cui stiamo parlando è un dramma incredibile, che non sarebbe mai dovuto succedere”, continua il presidente di ANORC Professioni e Segretario generale di ANORC.
“Si dovrebbe solo provare vergogna per quanto successo”, aggiunge Lisi, “in realtà, senza provare a minimizzare affermando che si è provveduto a effettuare tutte le denunce e notifiche che la legge prevede, per poi concludere con piglio “autorevole” che non si pagheranno riscatti. Sono stati esfiltrati 60 gigabyte di dati. Rendiamocene conto. E l’attuale diffusione ne costituisce una percentuale minima. 60 giga usciti da un archivio indisturbati. Come nulla fosse. Come se il GDPR con le sue misure adeguate di sicurezza non esistesse. Del resto la protezione dei dati personali è una scocciatura burocratica. La cybersecurity roba da nerd. E la formazione dei dipendenti costa troppo”.
“Un Paese che oggi non investe nel proteggere se stesso”, conclude Andrea Lisi, “è destinato a gonfiarsi di storytelling prima di rendersi conto della sua reale, attuale arretratezza. Ma sarà (e forse è già) troppo tardi.”