Mega-Leak in Svezia, ma gli hacker non c’entrano

Lug 24, 2017 Marco Schiaffino Gestione dati, Leaks, News, RSS, Vulnerabilità 0

Il database dell’ente dei trasporti nelle mani di operatori stranieri. Contiene informazioni sensibili su cittadini, forze di polizia e militari. “Ignorate le norme di sicurezza nella gestione dei dati”.

Sono sempre di più le amministrazioni pubbliche che decidono di abbandonare la gestione diretta dei dati e affidarla a società private. Si chiamano esternalizzazioni e, di solito, vengono fatte per risparmiare sui costi relativi (soprattutto) agli impiegati.

In qualche caso, però, i costi possono superare i benefici. Soprattutto se in un passaggio delicato come il trasferimento dei dati vengono completamente ignorate le misure di sicurezza.

È quello che è successo al governo svedese, che in questi giorni è travolto da uno scandalo legato alla gestione del database dell’ente dei trasporti (simile alla nostra motorizzazione) e alla possibilità che la sua esternalizzazione abbia esposto al rischio che dati sensibili siano finiti nelle mani di paesi stranieri.

Tutto comincia nel 2015, quando l’ente dei trasporti decide di affidare la gestione del suo database a IBM in Repubblica Ceca e la gestione di firewall e sicurezza a NCR in Serbia.

La procedura richiederebbe una serie di verifiche sull’affidabilità delle persone coinvolte nella gestione del database (soprattutto per quanto riguarda i collaboratori esterni) che contiene dati e informazioni riguardanti non solo milioni di cittadini, ma anche veicoli militari e delle forze di polizia.

Il problema è che dalle parti dell’amministrazione svedese hanno fretta di tagliare i costi e hanno già cominciato a licenziare parte del personale. Il direttore generale Maria Ågren decide così di “velocizzare” la procedura. Il database viene quindi trasferito sui server cloud delle società private in tutta fretta e con i dati in chiaro.

L’ex-direttore generale dell’ente dei trasporti svedese Maria Ågren è finita sotto processo per aver gestito in maniera inadeguata i database dell’amministrazione.

Risultato: chiunque sia stato coinvolto nel processo (si parla di un numero imprecisato ma decisamente cospicuo di persone) ha avuto la possibilità di farsene una copia.

I servizi segreti svedesi si rendono conto di quello che è successo solo nel 2016, ed è a questo punto che parte l’indagine. La Serbia, infatti, non è considerata esattamente uno degli “alleati” della Svezia e quella che le informazioni siano finite a servizi di intelligence nell’orbita della Russia di Putin sarebbe più che una semplice ipotesi.

Stando a quanto riportato dalla stampa svedese, non si tratterebbe di informazioni di poco conto. Tra i dati ci sarebbero infatti i dettagli personali di tutti i cittadini svedesi (compreso un registro delle forze di polizia), quelli dei membri delle truppe di elite dell’esercito e dei piloti militari e civili.

Esporre al rischio di leak le informazioni sui piloti di caccia non è propriamente un’idea brillante.

Non solo: le informazioni comprenderebbero un elenco di tutti i veicoli militari o comunque in uso al governo e informazioni sulle infrastrutture di trasporto svedesi. Insomma: una sorta di “radiografia” del paese scandinavo su cui qualsiasi agente segreto straniero metterebbe le mani volentieri.

Come riporta il fondatore del Partito Pirata Rick Falkvinge, a questo si è aggiunta una surreale fuga di notizie legata alla fornitura dei dati dell’ente dei trasporti alle aziende di marketing. Secondo quanto riporta Falkvinge, in una delle normali comunicazioni dei dati relativi ai cittadini (si tratta di informazioni che sono in ogni caso pubblicamente accessibili) sarebbero stati compresi anche i nomi di collaboratori di giustizia sottoposti al programma di protezione testimoni.

La parte più sconvolgente della vicenda, però, è che una volta resisi conto dell’errore, l’amministrazione ha pensato bene di contattare tutte le aziende di marketing via email pregandole di cancellare i nomi “sensibili” dagli elenchi che gli erano stati inviati.

Insomma: se prima le identità segrete erano per lo meno confuse tra milioni di record, con la seconda comunicazione l’ente dei trasporti ha in buona sostanza fornito un elenco completo di identità segrete a decine di impiegati che ne potranno fare qualsiasi uso.

In seguito allo scandalo Maria Ågren si è dimessa ed è stata sottoposta a processo. Condannata, l’ex direttrice generale ha però subito come unica conseguenza una multa pari al 50% del suo stipendio mensile, poco più di 7.000 euro. Ci fossero stati coinvolti degli hacker, probabilmente avremmo parlato di ergastolo.

Condividi l'articolo