Da Agi.it:

Piattaforma bloccata nel giorno delle richieste per i bonus. Molti utenti hanno segnalato di aver avuto accesso ai dati di altri iscritti. Garante della Privacy: "Grave violazione, siamo molto preoccupati". Per Conte e Tridico è stato un attacco ma gli esperti interpellati dall'Agi lo ritengono improbabile

Sito bloccato, servizi inaccessibili ed esposizione dei dati degli utenti. Nel giorno in cui è possibile inviare le richieste di bonus e congedi, l'Inps si blocca. Il presidente dell'ente, Pasquale Tridico, parla di un attacco hacker, tesi sostenuta anche dal presidente del Consiglio, Giuseppe Conte. Gli esperti informatici interpellati dall'Agi escludono però questa pista. Provando ad accedere a uno dei tre servizi previsti dal Cura Italia per tamponare l'emergenza Covid-19 (la richiesta di bonus baby-sitter, quella di congedo parentale e l'indennità di 600 euro per gli autonomi), il sito prova a caricare le pagine per diversi minuti prima di annunciare che il server non risponde. Troppo traffico in entrata. Via Twitter, l'Inps, sommersa dai messaggi di protesta, scrive di essere a "conoscenza della problematica": "Ci scusiamo per quanto accaduto e stiamo lavorando a una pronta risoluzione". Intanto decine di utenti hanno segnalato - anche all'AGI - che, inserendo le proprie credenziali, l'Inps rimanda alle sezioni riservate e ai dati di altri utenti. Con tanto di nomi, anagrafe, codice e posizione fiscale, Pec. Non un errore isolato, a quanto pare. Molti utenti segnalano che, a ogni tentativo di accesso vengono reindirizzati alle schede di altri cittadini a caso. Il garante della Privacy: "Gravissimo data breach" Sulla questione si accende anche il faro dell'Autorità garante della privacy, che esprime seria preoccupazione per l'esposizione di dati personali degli utenti. "Si tratta di un gravissimo data breach. Siamo molto preoccupati, ci siamo messi subito in contatto con l'Inps e avvieremo i primi accertamenti per verificare se si è trattato di un problema legato alla progettazione del sistema di una problematica più ampia. È importante che ora l'Inps chiuda la falla e metta in sicurezza i dati". 

Il presidente dell'Istituto, Pasquale Tridico, ha spiegato in mattinata - sempre tramite il social network - che "dall'una di notte alle 8.30 circa, abbiamo ricevuto 300 mila domande regolari. Adesso stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell'Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri". Poi al Tg1 chiarisce: "Negli ultimi giorni abbiamo subito diversi attacchi hacker che hanno creato diverse disfunzioni. Stamattina gli attacchi sono proseguiti, con disfunzioni ulteriori".

Al momento l'accesso al sito è sospeso, ma Tridico ha assicurato che sarà presto riaperto, sebbene "con una modalità diversa: la mattina, dalle 8 alle 16, a patronati e consulenti, dalle 16 in poi anche ai cittadini". Nel pomeriggio anche il premier Conte ha detto che la piattaforma è stata oggetto di attacchi hacker.

Perché un attacco hacker è improbabile

È poco probabile che i problemi del sito dell'Inps siano stati causati da un attacco hacker, anche perché di attacchi hacker di questo tipo finora non ce n'è mai stata traccia. Più facile invece che si sia trattato di un errore di programmazione della memoria cache del sito. Ne è convinto Matteo Flora, imprenditore e informatico che all'AGI spiega le ragioni delle centinaia di segnalazioni arrivate in queste ore da parte di utenti che si sono trovati con moduli già compilati da altri utenti, accedendo cosi' ai loro dati riservati.

"La cosa che ritengo più probabile è che qualcuno abbia attivato un meccanismo di memoria cache per aiutare il sito che in quelle ore faticava a stare online", spiega Flora. Una sorta di scorciatoia per alleggerire il sistema dalle centinaia di migliaia di richieste di compilazione dei moduli: "Con la cache, invece di chiedere tutte le volte al server le informazioni per 'comporre' le pagine dei moduli da compilare, sovraccaricando ulteriormente il sistema, si tengono in memoria alcune 'parti' delle richieste e richiamarle per rendere più leggera l'operazione". 

Come si spiega quindi che chi accedeva al sito si è ritrovato i moduli compilati da altri?

"Qualcuno deve aver messo in cache anche le pagine degli utenti autenticati nel sito nell'Inps o per lo meno le sessioni autenticate - continua Flora -. Quindi chi è entrato per primo ha caricato i suoi dati, ma questi sono stati memorizzati, e l'utente successivo entrando nel sito li ha potuti vedere come se fossero i suoi. Si tratta di decine, forse centinaia di migliaia di dati personali di utenti che sono stati esposti ad altre persone".

Un errore di programmazione quindi, e anche piuttosto comune, spiega l'informatico: "Chiunque abbia mai programmato un sistema di cache ha fatto questo errore. Ma si tratta di un errore che generalmente viene fatto e individuato in fase di progettazione del sito, non quando si è online".

Flora infine ritiene poco probabile che quel genere di problemi possano essere stati causati da un attacco hacker, pur non potendo escludere che un qualche tipo di attacco ci sia stato: "Al momento non si hanno notizie di altri attacchi hacker di questo tipo. Anche perché sarebbe un attacco hacker un po' senza senso: non sono stati stati rubati dei dati, ma si sono esposti dati di utenti ad altri utenti. E poi c'è da dire che tutti i siti sono quotidianamente oggetto di attacchi hacker di qualche tipo, ma sono cose che tutti già mettono ampiamente in conto e hanno sistemi per difendersi", conclude.

E ora che deve fare l'Inps?

Sul sito dell'Inps c'è stato comunque quello che gli informatici definiscono un leak. Una violazione di dati personali che per essere tale nonè' necessario che sia causata volontariamente da qualcuno, spiega all'AGI Massimo Simbula, avvocato esperto di digitale. "La violazione dei dati personali è per definizione una problema di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica o la divulgazione non autorizzata di informazioni. È il regolamento europeo sulla privacy a definirlo in questo modo", spiega Simbula.

Ma una volta accertata la violazione, cosa deve fare ora l'Inps? "Il Gdpr è molto chiaro in proposito: l'Inps deve notificare la violazione al Garante Privacy senza ritardo, spiegando cosa è successo e le azioni intraprese. Se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza - continua l'avvocato-. Qui mi pare che si tratti di una violazione che potrebbe rappresentare un rischio elevato per i diritti e le liberta' delle persone fisiche, quindi oltre ad avvisare il Garante, per l'Inps sarà necessaria una notifica anche a tutti gli utenti interessati dalla violazione".

Violare la normativa europea comporta sanzioni, anche pecuniarie. Cosa rischia l'Inps? "Premesso che è necessario verificare se esista o meno una responsabilità dell'INPS considerata anche la difficile situazione nella quale si trova ad operare, il Gdpr stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione ha diritto a ottenere il risarcimento del danno.

Inoltre sula carta il GDPR prevede sanzioni fino a 20 milioni di euro nel caso di violazione delle norme in materia. Per cui l'Inps dovrà attivarsi subito intanto con le notifiche del caso al Garante e, se necessario, agli utenti. Dopodichè si dovrà verificare se ci sono altri soggetti coinvolti e il grado di responsabilità. Il tempo e' un fattore importante in queste situazioni e dovrebbero attivarsi quanto prima per delle idonee contromisure". Soldi che, continua Simbula, probabilmente sarà lo Stato a dover sborsare.

“Questo spiacevole episodio, che vedremo nei prossimi giorni se porterà conseguenze legali all’Ente a causa di denunce per data breach – commenta invece Giancarlo Di Lieto, Business Unit Manager di Innovery -  ha messo ancora più in evidenza quanto la sicurezza costituisca un elemento imprescindibile nella fase di progettazione di qualsiasi sistema informatico, soprattutto quando ne va di mezzo la tutela dei dati personali dei cittadini”.

Da Agi.it

Si fa presente che è disponibile un servizio di assistenza tecnica PC, Tablet e Mobile da remoto, ovvero via TeamViewer o altro programma similie, come RescueAssist (di LogMeIn), per qualsiasi problematica Software [se il problema riguarda un componente Hardware, verrà ipotizzato dall'agente e verrà inoltre spiegato come fare per risolverlo]

L'Utente dovrà soltanto seguire il link fornito dall'Agente, scaricando una leggera applicazione [che verrà poi disinstallata e totalmente rimossa al termine della sessione] per effetturare la connessione remota al dispositivo in questione, e per poter ricervere una chiamata VoIP, per dare indicazioni all'Agente in tempo reale, al fine di velocizzare la risoluzione.

La tariffa attuale prevede una sessione di 30 minuti al prezzo di €20. Qualora la risoluzione del problema necessiti di tempo ulteriore, se la causa è da attribuirsi all'Agente, vengono concessi 15 minuti extra gratuitamente. Se il prolungamento è dovuto a cause esterne all'Agente, come connessione a Internet lenta, scarsa velocità del processore nell'installare programmi o drivers, etc., è possibile richiedere 15 minuti di sessione extra, a €8, anziché la metà esatta del prezzo totale di 30 minuti. La prima sessione di Assistenza è gratuita. Per usufruirne, è necessario prendere nota del numero di coupon che compare durante la prenotazione del servizio, nel calendario presente nella Home.

Tutti possono essere Hardware, Software, ma più frequentemente combinati, o Cloud-based. Rilevano e agiscono sulla base di sensori.

IDS = Intrusion Detection System: sistema passivo di rilevazione delle intrusioni che si limita a registrare l'evento in un log e ad inviare un avviso all'amministratore di sistema in caso di violazione di certe regole (rules) o in caso di comportamento (behaviour) sospetto.

Snort è un IDS.

IPS = Intrusion Prevention System: sistema posizionato inline con un certo grado di autonomia nella decisione delle azioni da intraprendere in caso di intrusione o attacco al sistema, ovvero di violazione di regole o di anomalie rilevate nell'analisi statistica del traffico o nel controllo delle firme dei (signatures) pacchetti inviati e ricevuti e attuazione delle Policies (non presente negli IDS).

CISCO IPS è un classico IPS.

Entrambi, IDS e IPS possono essere Network-based o Host-based, ovvero, rispettivamente NIDS e HIDS. I NIDS hanno sensori disposti nella rete stessa, mente i HIDS monitorano il traffico direttamente associato ad un particolare host, end point o qualsiasi dispositivo nella rete.

Firewall Next-Gen: sistema che integra un IDS, un Firewall all'esterno che consente determinati servizi, indirizzi in connessione, apertura di porte etc., scandagliando primariamente il traffico, mentre dietro il Firewall è presente l'IPS, che al contrario, nega determinato traffico alla base delle decisioni sulle azioni da eseguire. Spesso sono aggiunte altre features per un'analisi approfondita di ogni tipo di traffico.

Fortinet è uno tra i produttori più importanti di Next-Gen Firewall.

Gli IPS prevedono un utilizzo abbondante delle risorse di rete e di sistema, quindi un Firewall posizionato verso l'esterno della rete che già selezioni permettendo dei tipi di traffico senza dover lasciar fare tutto all'IPS, è necessario laddove si richiedano prestazioni eccellenti e, allo stesso tempo, sicurezza elevata.

Moderni sistemi integrati IDS/IPS ed Event Manager, come SolarWinds, Suricate, OSSIM Alien Vault, OSSEC, etc. molto spesso sono open source, mentre un Firewall Next-Gen ha in genere codice proprietario e costa diverse migliaia di euro.

Qual è la scelta migliore tra Next-Gen Firewall e sistema IDS/IPS/Event Manager?

1. Spesso si desidera una soluzione maggiormente automatizzata, in grado di prendere decisioni autonome in ogni caso; 2. I Next-Gen Firewall prevengono una varietà di attacchi più elevata del semplice IPS standalone. Ad esempio, alcune "Policies" basate sulla predizione, algoritmi di Intelligenza Artificiale, sistema di ispezione dei pacchetti approfondita, si rivelano efficaci nel fermare attacchi che non seguono patterns conosciuti o predefiniti, come gli zero-day e alcuni worm; 3. Si deve tener conto delle necessità, oltre che delle competenze in operazioni di Sicurezza Informatica e che una soluzione combinata di IDS/IPS/SIEM (Event Manager) richede a volte interventi diretti nella gestione dell'intrusione o attacco alla rete o all'host server o all'end point, settando ottimamente e singolarmente i componenti IDS e IPS, il che può essere un vantaggio o uno svantaggio, in base alle suddette caratteristiche di richiesta.

E' sempre necessario valutare se ad un'azienda converrebbe maggiormente investire in personale qualificato in Cybersec o nell'automatizzazione totale, tramite prodotti da migliaia di euro con maggiore potere decisionale, ma anche difficoltà nella gestione volontaria dei singoli componenti.