Che le Pubbliche Amministrazioni siano l'obiettivo preferito dei criminali informatici è sempre più risaputo, con quasi 200 attacchi in poco più di due anni. Da un’analisi compiuta da AgID nel 2021 su circa 11mila data center tra Enti locali e centrali, è emerso che il 95% dei data center esaminati non era in linea con i requisiti di sicurezza minimi, dunque a rischio non solo di attacco dall’esterno, ma anche di crash del sistema internamente.
La scarsa preparazione degli utenti, poi, completa il quadro, a cui si sta cercando di porre rimedio con la Strategia per la Cybersicurezza Nazionale, il piano che, tra il 2022 e il 2026, dovrebbe implementare i sistemi e fissare gli interventi a breve e medio termine per le PA.
Ben vengano, dunque, fondi per acquistare nuovi sistemi, ma ad oggi la miglior misura per difendere il proprio Ente da un attacco informatico restano la formazione e la prevenzione, con tutti i danni che ne derivano in termini di responsabilità e sanzioni.
Il phishing: il modo più utilizzato per infettare con un virus il computer
La tecnica del phishing rappresenta uno dei modi più comuni con cui i criminali informatici si impossessano del computer delle Pubbliche Amministrazioni, per piazzarvi un virus (ransomware), carpire credenziali di accesso o perpetrare un furto di dati. Circa il 75% delle organizzazioni ha segnalato un attacco di phishing nel 2021 ed il costo medio di ognuna di esse (in termini di danno emergente, tempo e denaro spesi per ripristinare i sistemi, danno di immagine, sanzioni del Garante della Privacy) è di quasi 4 milioni di euro per ciascuna violazione.
Anche il “famoso” attacco alla Regione Lazio dell’estate scorsa è avvenuto tramite phishing. Conoscere questa tecnica e avere qualche accortezza nel proteggersi è quindi essenziale per il buon funzionamento dell’Ente.
Come dice la parola stessa, il phishing non è altro che una 'pesca a strascico': una serie di email pericolose contenenti allegati malevoli o link infetti vengono immesse nella rete, inviate al maggior numero di utenti possibile, in attesa che qualcuno, appunto, abbocchi all’amo.
Lo scopo può essere diversificato: una email di phishing può voler farci cliccare su un link, carpire con l’inganno le nostre credenziali al conto corrente, farci scaricare un malware, farci cedere una password. Ma l’obiettivo finale è sempre uno: i nostri dati personali, il petrolio della rete.
- Fonte LaGazzettadegliEntiLocali.it - Articolo di LUISA DI GIACOMO, avvocato da oltre quindici anni, dal 2012 è consulente privacy presso aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.