Hackerata l'Agenzia delle Entrate?

26/07/22

25 luglio, a Roma la temperatura è sempre più alta, e non solo quella del meteo! Qualche giorno fa è caduto il governo, oggi sembra che sia la volta dell'Agenzia delle Entrate. Sui social si inseguono notizie, mezze voci, smentite... "Hackerata l'Agenzia... "

L’Agenzia delle Entrate dichiara “in riferimento alla notizia apparsa sui social e ripresa da alcuni organi di stampa circa il presunto furto di dati dal sistema informativo della fiscalità, l’Agenzia delle entrate precisa di aver immediatamente chiesto un riscontro e dei chiarimenti a Sogei Spa, società pubblica interamente partecipata dal Ministero dell’Economia e delle Finanze, che gestisce le infrastrutture tecnologiche dell’amministrazione finanziaria e che sta effettuando tutte le necessarie verifiche”.

"Smentita la notizia... "

La Sogei afferma che “non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria”.

Chi ha ragione? Come al solito in Italia non si capisce niente!

Eppure i meglio informati dicono di aver visto le cartelle del file system, organizzate per utente, con all'interno i documenti personali, carte d'identità, passaporti... possibile che nel 2022 ci sia ancora chi organizza i dati in questo modo? Perché non un database? 
Ma si tratta veramente di dati dell'Agenzia delle Entrate?

Ma tant'é, questa è la situazione:

Purtroppo occorre ipotizzare il peggio: ovvero che LockBit abbia effettivamente hackerato l'Agenzia e sia in possesso dei dati. 

LockBit chiede un riscatto, pena la pubblicazione dei dati entro cinque giorni. 

Ora proviamo a considerare alcune possibili linee d'azione: 

  1. Lo Stato decide di non pagare il riscatto. Semplice, le conseguenze sono già chiare. I dati sottratti, sembra si tratti di 75 GB circa, saranno resi pubblici, forse in parte venduti sul mercato nero, con tutte le conseguenze del caso. Truffe, impersonificazioni, ricatti... si perché si tratta dei dati finanziari di tutti i soggetti (o parte di essi) che si trovavano nei DB dell'Agenzia delle Entrate. 
  2. Lo Stato decide di pagare. Gli hacker sono onesti e avuto il loro compenso restituiscono i dati sottratti e cancellano ogni copia creata. Ipotesi credibile? direi molto poco. Ma ormai la frittata è fatta, l'unica cosa da fare è sperare nella loro onestà. E se fossero disonesti, allora si ritornerebbe al caso uno con l'aggravante di aver pagato il riscatto. 
  3. Lo Stato mette in moto tutte le strutture create in questi anni, attiva tutte le direttive NIS, ricorre alle innumerevoli norme regolamentari e ai suoi migliori uomini per...

Purtroppo ho esaurito le ipotesi, restano però le domande: 

  1. Come è potuto accadere? Le norme prevedono che i dati particolarmente sensibili debbano essere come minimo cifrati... i nostri dati lo erano? A vedere gli screenshot pubblicati sembrerebbe proprio di no.
  2. E adesso? Chi paga per quanto accaduto? Il tecnico in fondo a destra o il Titolare dei dati? Contitolari più probabilmente, se l'attacco sarà confermato, dato che le organizzazioni corresponsabili potrebbero essere diverse, l'Agenzia in primis ma anche sa società Sogei. Sicuramente il Garante della Privacy potrà dire la sua. Forse si potrebbe addirittura pensare ad una class action.. ma siamo seri, come potrebbe finire se non a tarallucci e vino?

Purtoppo, qualunque cosa si possa dire non aiuterà a riportare le cose all'attimo prima dell'incidente. Eppure a volte una sana prevenzione, la corretta informazione e formazione del personale e delle attività di bug bounty e pentesting possono essere d'aiuto.

Ma occorre sapere di che si parla... e non sempre è cosi!

Alessandro Rugolo, Danilo Mancinone, Ugo Micci, Carlo Mauceli, Federica M. R. Livelli

Per approfondire:

rheinmetal defence