Le bugie hanno le gambe corte: il caso Luxottica
Avevano detto che non era successo nulla. Qualche giornalista rasserenante aveva addirittura titolato “Attacco ransomware blocca Luxottica, ma la reazione è da manuale: ecco perché”. Impietosamente avevo preferito il mio “Luxottica pensi alla sicurezza dei suoi sistemi informatici invece che agli smart glasses”.
Se mandiamo il calendario indietro di un mese, approdiamo ad uno dei più disdicevoli incidenti hi-tech sul territorio nazionale che ha visto protagonista (si fa per dire) il colosso degli occhiali capitanato da Del Vecchio.
Nonostante le rassicurazioni di chi preferisce gettare acqua sul fuoco (anche quando le norme antincendio escludono il ricorso a certi liquidi), la catastrofe digitale non si è risolta con il banale “staccare la spina” che sembrava equivalere all’alzare il ponte levatoio.
La manovra per isolare il castello ed impedire accessi indesiderati è infatti arrivata tardi e soprattutto quando i lanzichenecchi virtuali avevano già depredato gli archivi elettronici.
Sinceramente dispiaciuto di dover smentire certa “stampa confortante”, mi addolora ancor più prendere atto che l’artigianalità dell’azienda leader del cosiddetto “eyewear” sia rimasta presente nella gestione del proprio sistema nervoso rappresentato da computer e reti indifesi a dispetto delle incombenti minacce.
Chi ha agevolmente scavalcato la recinzione digitale di Luxottica non si è limitato a paralizzare le attività industriali e commerciali rendendo illeggibili i file di utilizzo quotidiano e inutilizzabili le procedure vitali. Non si è trattato quindi solo di un doloroso ransomware che ha cifrato i supporti magnetici di memorizzazione e danneggiato il loro contenuto.
(Nella foto: il Generale Umberto Rapetto)
La circostanza più sgradevole (anche se non esiste una hit-parade della sfiga) è il “data leaking”, ovvero la sottrazione di dati che è avvenuta in danno non solo di Luxottica ma anche e soprattutto delle persone le cui informazioni non erano adeguatamente protette.
In pratica chi si è intrufolato nei sistemi informatici, prima di vandalizzarli, ha provveduto a fare copia dei giganteschi database. Non contento di tutto ciò, la banda di hacker artefice della malefatta ha ritenuto opportuno non tenere segreta l’entità del proprio malloppo.
E così la masnada tedesca dei “Nefilim” ha pubblicato sul darkweb due imponenti gruppi di file corrispondenti al bottino sgraffignato alla Direzione per le Risorse Umane e al Dipartimento finanziario di Luxottica, vale a dire dati personali (anche sensibili) relativi ai dipendenti e informazioni riservate che potrebbero consentire di fare i conti in tasca all’azienda.
Sicuramente la grande impresa ha coscienza del danno arrecato alle proprie maestranze (i cui segreti sono finiti nelle mani di chissà chi) e di quello di immagine per una figura barbina di portata epocale. La violazione dei propri database configura una fattispecie interessante per la disciplina in materia di privacy e non c’è dubbio che l’Autorità Garante adotterà i provvedimenti sanzionatori proporzionali al reprensibile accaduto.
Forse è venuto il momento di smettere di nascondere la polvere sotto il tappeto e cominciare ad affrontare in modo serio la questione della sicurezza informatica e delle Reti.
In una stagione in cui la pandemia ha bloccato gli inutili convegni e workshop in tema di cyber, si utilizzino le energie – in precedenza sprecate in dissertazioni improduttive – per arginare il dissesto idrogeologico digitale.
Il tanto plaudito smart working è la punta dell’iceberg dei guai prossimi venturi. Ne ho pleonasticamente scritto sul Fatto Quotidiano qualche giorno fa. Vox clamantis in deserto…
(di Umberto Rapetto, Infosec.news)