Cosa sappiamo sul caso Uber? Che l’hackeraggio è stato compiuto da due persone, che «non facevano parte della società». Che hanno avuto accesso ai server di Amazon su cui erano memorizzati i dati dei clienti e degli autisti. E che Uber ha pagato per tenere tutto a tacere.
Se chiedete a un esperto di cybersecurity vi dirà che non c’è nulla di cui stupirsi. E che anzi 100mila dollari non sono neanche una grande cifra per “gestire” una data breach di queste dimensioni. Le cronache degli ultimi anni sono letteralmente piene di violazioni della sicurezza informatica che comportano il furto di informazioni personali o aziendali.
Si va dai casi limite come quello di Yahoo, in cui i criminali hanno rubato le credenziali di accesso e i dati sensibili di oltre un miliardo di utenti a quelli meno eclatanti ma devastanti per le singole aziende in cui vengono sottratte proprietà intellettuali, poi rivendute al mercato nero.
Nel caso di Equifax, una violazione che ha avuto come bottino i numeri di sicurezza sociale e tutte le anagrafiche di centinaia di milioni di cittadini americani, l’accesso non autorizzato è avvenuto perché un tecnico ha dimenticato di aggiornare un server con una patch rilasciata sei mesi prima.
Addirittura, il Dipartimento della Difesa americano ha lasciato decine e decine di documenti top secret disponibili a tutti su di un server Amazon perché ha dimenticato di “chiuderlo”. Un errore grossolano, certo, ma anche così comune che Amazon Web Services, uno dei maggiori provider di servizi cloud, ha deciso di mettere nella home page un avviso che ricordava a tutti come attivare le procedure di sicurezza per i dati messi nel cloud.
Scordiamoci quindi lo scenario da War Games, con il piccolo hacker nella sua stanzetta che si connette magicamente ai terminali di una azienda e naviga tra buste paga, fatture e dati sensibili dei dipendenti. Negli ultimi 10 anni il mondo della cybersicurezza si è capovolto. Se prima la missione era difendere il perimetro ora si lavora a scoprire chi è già dentro alle aziende.
I punti di accesso per rubare dati sensibili non sono aumentati ma la gestione dei dati è diventata la vera vulnerabilità del sistema corporate mondiale. Dagli anni Novanta in poi, da quando cioè le informazioni hanno smesso di risiedere esclusivamente sui server di una azienda, le cose si sono fatte un po’ più complicate. Se prima i casi di spionaggio industriale erano tutti da imputare a talpe interne o comunque ad addetti o persone che avevano un accesso fisico alla struttura oggi le multinazionali ma non solo hanno visto moltiplicarsi le proprie vulnerabilità.
L’avvento dei servizi di cloud computing, ovvero la possibiltà di esternalizzare la gestione dei dati dell’azienda a soggetti specializzati ha cambiato le regole del gioco. Soprattutto per chi ha scelto di dare in outsourcing gli asset più preziosi del proprio patrimonio informativo. Più che una scelta poi è stata una necessità dettata dal cambiamento delle regole di competizione del mercato.
Il motivo? Costa meno per esempio esternalizzare un sistema di pagamento a chi lo fa per mestiere che assumere un personale specializzato, server e hardware dedicato. Chi possiede potenza di calcolo (server) e servizi software attraverso internet o reti dedicate può gestire da remoto in maniera più efficiente anche le fuzioni più strategiche del business di una azienda. Spesso però le vulnerabilità non riguardano i grandi fornitori di nuvola come Microsoft, Ibm Google. Il diavolo si nasconde nei dettagli. Anzi nell’intercapedine dei rapporti con piccoli fornitori di servizi. Nel dialogo tra policy di sicurezza diverse, tra sistemi informatici che parlano lingue diverse o nelle zone grige dei rapporti con soggetti di terze parti. Come sanno bene i Cio delle aziende i dati, quando non sono sparsi tra fornitori di “nuvola” diversi, devono essere resi accessibili a chi per ragioni di business è chiamato a collaborare con l’azienda. Chi può garantire per loro? I “servizi di terze parti” sono il perfetto capro espiatorio. «Rimango preoccupato da alcune parole citate nel blog di Khosrowshahi (il nuovo Ceo di Uber ndr)», ha commentato Rik Ferguson, Vice President Security Research Trend Micro. «Sembrerebbe prendere le distanza dai servizi cloud di terze parti, obiettivo della violazione, per separare nettamente l’infrastruttura e il sistema corporate. Questo ci fa capire le radici del problema. I servizi cloud adottati da un’azienda sono di fatto infrastrutture e servizi corporate, e da un punto di vista della security dovrebbero essere trattati come tali. Le responsabilità non si possono delegare all’esterno».
Insomma, il problema della sicurezza non risiede in “dove” sono memorizzati i dati, ma nella competenza di chi li gestisce e nella sua voglia di tenerli al sicuro. Un penetration test, cioè un attacco hacker commissionato a una azienda di sicurezza per testare le difese, avrebbe sicuramente rilevato questi problemi. Evidentemente nessuno ha pensato di commissionarne uno, ignorando le conseguenze: una volta che i dati sono stati rubati non c’è un punto di ritorno. Non c’è modo per toglierli dalla circolazione.
Una grossa mano nella protezione dei nostri dati dovrebbe arrivare dal Gdpr, il nuovo regolamento per la protezione dei dati che entrerà in vigore negli Stati dell’Unione Europea a maggio del 2018 e prevede multe salatissime (fino al 5% del fatturato) per quelle aziende che non proteggeranno adeguatamente i dati dei loro clienti e fornitori. La normativa rende anche obbligatoria la segnalazione tempestiva di eventuali intrusioni informatiche, in modo da dare agli utenti la possibilità di correre ai ripari invece di lasciare campo libero ai criminali per un anno o più come accaduto nel caso di Uber.