Altro che hacker o programmi più o meno sofisticati. Il primo rischio per la sicurezza informatica di aziende e pubbliche amministrazioni sono le persone, soprattutto quelle corrotte e inesperte. La pensa così Nanni Bassetti, consulente di informatica forense che, nel corso della sua trentennale esperienza, si è occupato anche di clamorosi casi di cronaca come la scomparsa di Angela Celentano, il delitto di Yara Gambirasio.
Dottore, i casi di dossieraggio su cui indagano le Procure di Perugia e Milano, oltre la vicenda del bancario pugliese che avrebbe spiato migliaia di conti correnti, fanno sorgere un dubbio: è davvero così facile violare le banche dati?
«Un problema di sicurezza c’è, soprattutto per quanto riguarda la parte umana. Certo, ci sono gli hacker così come sofisticati programmi che consentono di carpire le informazioni da dispositivi elettronici. Ma spesso le più grosse falle nei sistemi di sicurezza sono legate alla presenza di persone corrotte o non sufficientemente preparate. Posso farle un esempio?».
Prego.
«Un giornalista lavora a una delicata inchiesta su un politico. Se voglio individuare le fonti di quel giornalista, posso fingermi donna, invitarlo a spogliarsi in chat, registrare tutto e poi estorcergli i nomi delle fonti minacciando di divulgare le immagini. Alla fine il giornalista cede e mi rivela le fonti. In questo caso, la falla non sta nell’attacco di un hacker o nell’uso di un chissà quale programma, ma nella scarsa attenzione ed educazione informatica del giornalista».
È solo imperizia?
«No, non solo. Esistono anche trojan e programmi che aprono le porte dei sistemi informatici. Qui è decisivo il livello di protezione, oltre che la preparazione del personale: più una realtà cresce, più ha necessità di personale addestrato e di strumentazione hardware e software in grado di garantire un elevato livello di protezione».
E le imprese investono?
«Da quel che ne so, è sempre troppo poco. Spesso si ritiene che la formazione del personale sotto il profilo della cybersicurezza sia un costo eccessivamente alto o addirittura inutile. E questo è un errore».
Non va meglio nella pubblica amministrazione, a quanto pare…
«Quella è ancora più a rischio: più un’organizzazione è grande e più difficile è controllarne i sistemi informatici».
Come si rimedia?
«Bisogna assumere personale che abbia solide competenze in materia di cybersicurezza e investire sulla formazione dei dipendenti. Poi occorre segmentare l’accesso alle risorse informatiche: la segretaria non deve poter accedere alle informazioni gestite dai manager, per esempio. Infine è indispensabile dotarsi di adeguati sistemi di sicurezza e verificare l’operato dei fornitori. Inoltre è anche importante controllare bene la cosiddetta supply chain, ossia la catena dei fornitori e di tutti i dispositivi informatici che ci mettiamo in casa o in azienda, a volte una semplice videocamera di sorveglianza potrebbe essere la breccia nel bastione».