Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/violazione-informatica-ai-danni-di-infocert-spid-a-rischio_134165.html

L'azienda che, tra gli altri, gestisce il servizio SPID (Sistema Pubblico di Identità Digitale), utilizzato per accedere ai servizi online della Pubblica Amministrazione, ha subito negli ultimi giorni un grosso attacco hacker

Click sul link per visualizzare la notizia.

Esiste un Auditing periodico di cybernetic stress test su società critiche come Infocert?

Esiste un Auditing periodico di cybernetic stress test su società critiche come Infocert?

Stando alla nota ufficiale:

"In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo" si legge in una nota ufficiale. "Tale pubblicazione è frutto di un'attività illecita in danno di tale fornitore, che non ha però compromesso l'integrità dei sistemi di InfoCert".

Non è infocert a essere stata violata ma un fornitore terzo e qua si torna a quello che da anni sostengo: lo stato non dovrebbe fare alcun tipo di outsourcing soprattutto per sistemi critici.

Prima o poi ci sarà qualche servizio PEC compromesso anche lì a causa del fatto che ci si è rivolti a terzi non pubblici.

Certo... anche il pubblico potrebbe essere violato sia chiaro ma è palese che mentre il pubblico senza scopo di lucro potrebbe spendere in sicurezza anche oltre il break even e quindi gestire una maggior sicurezza anche se questa causa delle perdite il privato avrà sempre interesse a massimizzare i profitti e quindi a risparmiare su tutto.

Stando alla nota ufficiale:

"In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo" si legge in una nota ufficiale. "Tale pubblicazione è frutto di un'attività illecita in danno di tale fornitore, che non ha però compromesso l'integrità dei sistemi di InfoCert".

Non è infocert a essere stata violata ma un fornitore terzo e qua si torna a quello che da anni sostengo: lo stato non dovrebbe fare alcun tipo di outsourcing soprattutto per sistemi critici.

Prima o poi ci sarà qualche servizio PEC compromesso anche lì a causa del fatto che ci si è rivolti a terzi non pubblici.

Certo... anche il pubblico potrebbe essere violato sia chiaro ma è palese che mentre il pubblico senza scopo di lucro potrebbe spendere in sicurezza anche oltre il break even e quindi gestire una maggior sicurezza anche se questa causa delle perdite il privato avrà sempre interesse a massimizzare i profitti e quindi a risparmiare su tutto.

Non fosse che il pubblico è il peggior colabrodo in fatto di sicurezza che si possa immaginare, come le cronache hanno evidenziato di recente (un ragazzotto siciliano che è entrato praticamente ovunque grazie a falle di sicurezza ridicole e senza nemmeno avere chissà che razza di competenze), avresti ragione. Il problema nella fattispecie non è tanto l'outsourcing (che semmai lo è per questioni economiche), quanto il problema del subappalto. È chiaro che InfoCert si è consapevolmente o meno affidata a una azienda terza che non aveva in essere sistemi e/o protocolli sufficientemente robusti, oppure le ha passato dati o ha delegato accessi che non avrebbe dovuto avere.

Non fosse che il pubblico è il peggior colabrodo in fatto di sicurezza che si possa immaginare, come le cronache hanno evidenziato di recente (un ragazzotto siciliano che è entrato praticamente ovunque grazie a falle di sicurezza ridicole e senza nemmeno avere chissà che razza di competenze), avresti ragione.

La vera domanda è: pensi che il privato sia messo meglio? O forse il privato è ancor peggio?

Il problema nella fattispecie non è tanto l'outsourcing (che semmai lo è per questioni economiche), quanto il problema del subappalto. È chiaro che InfoCert si è consapevolmente o meno affidata a una azienda terza che non aveva in essere sistemi e/o protocolli sufficientemente robusti, oppure le ha passato dati o ha delegato accessi che non avrebbe dovuto avere.

Proprio per questo penso che queste pratiche dovrebbero essere vietate e tutto svolto nell'ambito pubblico perché se anche non ci fosse stata violazione hai comunque messo dati e accessi in mano a un privato che non potrai mai esser certo che non faccia un uso non in linea.

Non c'entra nulla pubblico o privato, c'entrano la cultura e la sensibilità ai temi della sicurezza informatica.

Siamo un colabrodo perché il nostro modo di pensare e gestire le cose è mediamente un colabrodo. Si tende a minimizzare i rischi e a sottovalutarli ed il risultato è che poi tutti fischiettano allegramente quando succede qualcosa, non volendo prendersi la responsabilità delle cose o peggio imputando la responsabilità ad una presunta "collettività" di persone.

Finché non ci saranno azioni serie al riguardo, queste cose continueranno tranquillamente ad accadere, specie in un paese in cui nessuno si prende mai la responsabilità di nulla.

ho lo spid ma non con questi, ho letto un sito specializzato, sono gia in vendita sul dark web, ormai quei milioni che lo usano hanno gia il telefono in chiaro nel database, visibili dagli hacker, fate prima a cambiare sim, la cosa piu macchinosa è aggiornare l'account con email e numero nuovo

ho lo spid ma non con questi, ho letto un sito specializzato, sono gia in vendita sul dark web, ormai quei milioni che lo usano hanno gia il telefono in chiaro nel database, visibili dagli hacker, fate prima a cambiare sim, la cosa piu macchinosa è aggiornare l'account con email e numero nuovo

e se hanno il cell che se ne fanno? ti telefonano e ti dicono ciao?

Non c'entra nulla pubblico o privato, c'entrano la cultura e la sensibilità ai temi della sicurezza informatica.

Siamo un colabrodo perché il nostro modo di pensare e gestire le cose è mediamente un colabrodo. Si tende a minimizzare i rischi e a sottovalutarli ed il risultato è che poi tutti fischiettano allegramente quando succede qualcosa, non volendo prendersi la responsabilità delle cose o peggio imputando la responsabilità ad una presunta "collettività" di persone.

Finché non ci saranno azioni serie al riguardo, queste cose continueranno tranquillamente ad accadere, specie in un paese in cui nessuno si prende mai la responsabilità di nulla.

:ave: :mano: 101 di applausi.

La società risarcisca il danno agli utenti

e se hanno il cell che se ne fanno? ti telefonano e ti dicono ciao?

Immagino che finirà in mano ai call center come lo sono già molti dei nostri numeri, compreso il mio.

Non fosse che il pubblico è il peggior colabrodo in fatto di sicurezza che si possa immaginare, come le cronache hanno evidenziato di recente (un ragazzotto siciliano che è entrato praticamente ovunque grazie a falle di sicurezza ridicole e senza nemmeno avere chissà che razza di competenze), avresti ragione. Il problema nella fattispecie non è tanto l'outsourcing (che semmai lo è per questioni economiche), quanto il problema del subappalto. È chiaro che InfoCert si è consapevolmente o meno affidata a una azienda terza che non aveva in essere sistemi e/o protocolli sufficientemente robusti, oppure le ha passato dati o ha delegato accessi che non avrebbe dovuto avere.

Immagino che tu abbia avuto informazioni su decine di incidenti di sicurezza avvenuti nel pubblico…

Senno stai parlando a caso dando aria ai tuoi pregiudizi.

Non ho letto tutto, ma ad opera di chi ? Sempre dai soliti russi NoName 057 ?

I dati personali vengono venduti e poi ci stressano anche con le telefonate telemarketing :muro: