Security Gaffes che potresti aver perso quest’anno

Che ci crediate o no, il 2013 è già a metà! Con l’estate che avanza, anche le aziende di tutto il mondo sentono il caldo, soprattutto nel settore IT che ogni giorno combatte contro una crescente gamma di problemi di sicurezza che minano la redditività e la reputazione dell’azienda stessa.

Forse, la miglior misura di sicurezza, è semplicemente imparare dagli errori e disgrazie altrui! Date quindi uno sguardo a quelle che sono state definite le sette più grandi gaffes in ambito sicurezza fino ad ora.

Accidents as Threats (Incidenti come minacce)

Il mese scorso, il sistema di pagamento del Governo Francese basato sul modulo Chorus di SAP, è stato fermo per Quattro giorni subendo una perdita irreversibile di dati. Secondo la French State Financial Computing Agency, l’interruzione del servizio non è dipesa da un attacco di hacker ma dall’errore di un dipendente. È stato attivato accidentalmente il sistema antincendio in una sala serve del data center. Il risultato? Danni immediati su componenti importanti di una unità di storage del sistema Chorus. I dati, nonostante il sistema avesse una particolare configurazione Raid, non è stato possibile recuperarli.

Il rischio della disattenzione

A volte, a fare la parte del “cyber criminal”, ci pensano le policy applicate erroneamente dal dipartimento IT di una azienda. Nella Idaho State University’s Pocatello Family Medicine Clinic, un sistema di protezione firewall è stato disabilitato per circa 10 mesi. Il risultato è stato una violazione alle informazioni sanitarie riservate di 17500 pazienti. Questo problema, è costato all’Università 400000 dollari da pagare al U.S. Department of Healt and Human Services (HHS) per risolvere le presunte violazioni sulle regole di sicurezza HIPAA.

Che cosa è successo nella clinica? In sostanza, l’Università è stata pigra, inefficiente. Per essere compliant alle regole HIPAA sulla sicurezza e la privacy, si è tenuti a fornire informazioni precise sullo “stato di salute” sui sistemi adottati per la sicurezza. Per più di tre anni, l’HHS, ha rilevato che le analisi fatte dall’Università sulla valutazione dei rischi erano incomplete e non permettevano una adeguata identificazione di rischi e vulnerabilità.

Motivazione: il denaro

A New York, i procuratori federali, hanno stimato che una serie di furti informatici, ha portato via alle banche 45 milioni di dollari. Il furto avviene mediante l’hackeraggio di carte prepagate Mastercard e consiste nell’aumentare la disponibilità della carta per prelevare poi i soldi da altre banche.

Mentre alcuni “cyber criminali” puntano dritto ai soldi, altri prendono delle “strade alternative”. Quando ad esempio, l’account di Twitter è stato violato, un tweet fasullo ha segnalato due esplosioni alla Casa Bianca ed il ferimento del presidente Obama. Questo ha fatto si che l’indice Dow Jones, perdesse 143 punti nel giro di pochi secondi che, tradotto in denaro, ha significato una perdita di 200 miliardi di dollari. Il mercato, ha recuperato la perdita nel giro di pochi minuti ma, chi come l’hacker conosceva le mosse in anticipo, ha potuto approfittare di quel momento e fare degli acquisti a prezzi notevolmente più bassi!

Motivazione: danno e vendetta (Mayhem and Revenge)

Naturalmente, non tutti gli hacker sono motivati nelle loro azioni dai soldi. Quattro uomini inglesi associati al gruppo di hacker LulzSec, hanno ricevuto complessivamente più di 32 mesi di carcere. Per cosa? Attacchi informatici ai danni di aziende statali e ai siti di CIA, FBI, Nintendo, Sony e tanti altri ancora. Il motivo? Puro divertimento.

Nel frattempo a New York, un impiegato scontento, ha hackerato il sito web del suo ex datore di lavoro causando un danno di 90000 dollari. Perché? Non gli era stata data una promozione.

Una minaccia troppo grande per essere ignorata

Certo, dovresti vivere su Marte per non aver sentito le storie appena raccontate! Però, questa raccolta di avvenimenti, non sarebbe completa senza Edward Snowden. Quando ha denunciato la National Security Agency (NSA) ed il suo spionaggio/monitoraggio domestico, ha scatenato e continua a farlo, l’attenzione internazionale.

Ma cosa è successo esattamente? Si scopre che le informazioni che molti di noi, abbiamo sempre pensato essere private, sono invece sotto la lente della NSA. Informazioni come tabulati telefonici di clienti Verizon negli Stati Uniti (e forse anche clienti di altre compagnie telefoniche), il download di App, e-mail, sessioni di chat, video, chiamate VoIP e dati di utenti da siti come Apple, Facebook, Google, Skype e molti altri.

Se quanto accaduto è visto come una minaccia alla libertà civile dei cittadini, una minaccia alla sicurezza nazionale o a entrambe, questa storia ci costringe a ripensare al concetto di privacy e sicurezza delle nostre “operazioni elettroniche” e quali step dobbiamo intraprendere per ripristinare questa sicurezza.

Naturalmente, queste sono solo alcune delle storie più interessanti di questi primi sei mesi del 2013.

Raj Sabhlok Presidente di Zoho Corporation

Nessun commento

Commenta