Quote:
Originariamente inviato da doctor who ?
Cambiate sistemista.
O i dati al 100% precisi sono pubblici e allora vabbè, tanto piacere che sono corretti, o sono dati sensibili e allora qualche problema lo avete già
|
Ma dai, suvvia.
Gli attacchi di phishing di cui stiamo parlando non sono mica quelli del principe nigeriano. Gli attacchi mirati sono spesso fottutamente precisi, indirizzati alla singola persona, e magari partono da precedenti leak (magari piccoli) di qualche tipo per acquisire credibilità. Diventano difficili da distinguere da una mail lecita. Combinati ad una bella vulnerabilità 0-day non rilevata da antivirus/scanner hai la ricetta per un attacco perfetto.
La sicurezza non è mai bianco o nero. Se metti troppi, paletti la gente non riesce a lavorare. Se ne metti troppo pochi, ti sfondano. E' un bilanciamento delicato; non a caso i CISO di solito durano pochi anni in carica, sono i perfetti capri espiatori per qualsiasi stupidaggine succeda.
E' bello vedere e capire le logiche che stanno dietro alla sicurezza informatica. Negli ultimi anni i quattrini che un cybercriminale riesce a racimolare sono tanti, ma le responsabilità delle aziende che producono i software e/o gestiscono i sistemi sono sempre poche e difficili da stabilire.
In sostanza, il cybercrimine paga, e chi dovrebbe almeno provare a mettere in sicurezza i sistemi, viceversa, ha spesso risorse e responsabilità limitate.
La GDPR ha provato a cambiare qualcosa, perlomeno per quanto riguarda i dati degli utenti; ma stabilire quando è incompetenza, quando è dolo (es. risorse allocate insufficienti) o quando è sfiga (es. l'attaccante è troppo forte) è arduo e arbitrario.