Alla fine della scorsa settimana si è deffusa la notizia della probabile sottrazione di 160 gigabyte di dati, di proprietà di diversi produttori di autoveicoli e altre grandi aziende manifatturiere, archiviati su sistemi di server pubblici. Fra i dati sensibili violati moduli interni, planimetrie dei siti di produzione, fatture e dati di configurazione. Il sistema di archiviazione sarebbe di proprietà di Level One Robotics, e veniva apparentemente utilizzato per il back-up. Secondo un’azienda che conduce ricerche nel ramo della sicurezza IT, invece di isolare questi dati da quelli degli altri clienti, i file erano archiviati in modo da consentire a chiunque accesso a informazioni critiche appannaggio dei soli addetti ai lavori. Per disporre di tali dati bastava essere in possesso di credenziali di accesso al sistema valide e di qualche nozione informatica di base.
L’ingresso di servizio
Ciò che rende rischiosa una regolamentazione degli accessi di questo tipo. come spiegano i resposabili di GDATA (azienda specializzat anella sicurezza) è che i dati contenevano anche segreti industriali strettamente sorvegliati dai rispettivi proprietari e persino documenti riservati, come un accordo di non divulgazione siglato da Tesla Motors. In un ambiente in cui molte aziende sono persino riluttanti anche solo a parlare dei propri clienti, rivelazioni di questo tipo hanno un impatto ancora maggiore: anche solo disporre dell’elenco dei file presenti nella directory del sistema significa essere in possesso di un’informazione critica. Qualora i cybercriminali venissero a conoscenza del fatto che un’azienda lavora con uno specifico fornitore, potrebbero sviluppare un attacco mirato grazie alle informazioni in loro possesso. Il Social Engineering è solo una delle tattiche utilizzabili.
Stare all’erta
Eventi come questo potrebbero anche servire come monito alle organizzazioni. Occorre non solo occuparsi della sicurezza dei dati archiviati nella propria sede ma anche accertarsi delle misure di sicurezza adottate dai propri fornitori. Una componente essenziale per costituire quel rapporto di fiducia oggi ormai essenziale per il successo sia dell’azienda committente sia di quella incaricata.