1049. AGENZIA DELLE ENTRATE e SOGEI parte seconda: #LockBit non esiste e non è successo niente...

In questo episodio, mi sono concentrato su un caso di sicurezza informatica che ha coinvolto l'Agenzia delle Entrate, dove sono stati sottratti 78 giga di dati. Nonostante le negazioni iniziali da parte dell'Agenzia e di altre entità coinvolte, è emerso che i dati sono stati recuperati da un soggetto terzo, come uno studio professionale o un CAF. La situazione evidenzia un problema critico: la responsabilità di proteggere i dati risiede non solo nell'entità principale, ma anche in tutte le parti terze che hanno accesso a tali dati.

Ho discusso l'importanza di implementare misure di sicurezza adeguate, come l'autenticazione multifattore, per prevenire accessi non autorizzati. L'accesso ai dati tramite credenziali compromesse costituisce un data breach, indipendentemente dal fatto che le credenziali fossero legittime. Questo tipo di violazione sottolinea la necessità di un robusto third party risk management, che preveda controlli e procedure per garantire che le vulnerabilità delle terze parti non compromettano la sicurezza generale del sistema.

Ho citato un articolo di Alessandro Curioni, che ha fornito un esempio chiaro di come una violazione possa essere minimizzata dai responsabili. Tuttavia, il vero problema è l'assenza di controlli adeguati che avrebbero potuto prevenire l'esfiltrazione massiva di dati. La responsabilità non può essere semplicemente scaricata sull'ultimo anello della catena; piuttosto, deve essere riconosciuta a livello sistemico.

In sintesi, la sicurezza dei dati è una responsabilità condivisa che richiede misure proattive e una gestione attenta dei rischi associati alle terze parti. Solo attraverso un approccio integrato e consapevole possiamo sperare di proteggere efficacemente i dati sensibili.