Shitsturmtruppen - il data breach dell'Istituto di Vigilanza

Parental advisory: oggi non gira bene, uso parolacce e mi sento piuttosto diretto. Se questo è un problema, consiglio di visitare un sito alternativo.

Shit happens!

Shit happens: una delle grandi verità della vita. In realtà è un fattore di grande uguaglianza sociale che, in modo trasversale, ci accomuna tutti.

Ma anche nella sfiga, a guardare bene, c'è una certa differenza tra chi è destinato a schiacciare il caghino di un cucciolo di Maltese e chi, nella sventura, suo malgrado, dovrà confrontarsi con una fumante "boassa".

Fatte le debite proporzioni, ciò che è appena accaduto ad un noto Istituto di Vigilanza privata assomiglia ad una gigantesca giurassica montagna di merda... oppure a "The Worst Toilet in Scotland".

Congedandomi per un istante queste delicate metafore, vorrei concentrarmi su ciò che è realmente accaduto: i fatti. Una grande agenzia di vigilanza privata ha subito un furto di dati, un data breach e, nonostante la centrale operativa blindatissima, le guardie armate ad ogni angolo, le mille telecamere in ogni angolo e le numerose certificazioni * possedute, si è fatta rubare 300 Gigabyte di dati.

Di questi, 1,21 Gigowatt... hem, Gigadyte di dati sono stati pubblicati dalla ganga criminale, come prova del misfatto. Per ora non è nota la richiesta (se siano in vendita, se sia stata fatta una richiesta di riscatto, una estorsione) ma una cosa è certa: si tratta di una tragedia su larga scala. Il bacino di utenza è ampio ma concentrato prevalentemente nelle regioni del nord-ovest.

Cosa fa una agenzia di vigilanza? Tante cose, ciascuna ha la propria area di specializzazione. In questo caso  parliamo di videosorveglianza, ronde tramite videosorveglianza, gestione segnalazione d'allarme, piantonamenti, ecc.  Significa che le macchinette con le Guardie Particolari Giurate (PGP), i tecnici installatori, i manutentori e persino i commerciali necessitano di consultare una mole di informazioni strepitose. Purtroppo queste informazioni sono condivise in modo sgarzullino.

Per capire cosa sia successo, bisogna sedersi, mettersi tranquilli con un pò di tempo e prepararsi a distinguere differenti modi per essere coinvolti poiché ci sono differenti tipologie di malcapitati.

Piccola premessa - ruoli e colpe.

"Prima regola del comando: ogni cosa è colpa tua"
Cit. Hopper, la cavalletta

L'istituto di vigilanza ha tante aziende clienti e, quando tratta i loro dati, per esempio le immagini di videosorveglianza, lo fa in veste di responsabile del trattamento (data processor). In parallelo, ogni azienda cliente è il titolare del trattamento (data controller). Di conseguenza, se avviene un data breach in questa filiera, tutto sta sulle spalle di chi comanda, cioè del cliente che si avvale dei servizi di vigilanza. Con gli enti pubblici si applica lo stesso schema. In questi casi, l'Istituto di Vigilanza (di seguito I.d.V.) deve solo seguire le indicazioni che ricevere dai Titolari e prestarsi ad audit, verifiche, qualifica tecnico professionale.

Rispetto ai clienti privati le cose cambiano un pochino perché l'I.d.V. agisce come titolare del trattamento e risponde direttamente di tutto ciò che fa.

Malcapitato #1: azienda privata, cliente dell'I.d.V.

Il grosso dei dati riguardano questo tipo di malcapitati: aziende private, spa, srl, negozi, artigiani e commercianti, palestre, impianti sportivi, imprese che hanno affidato all' I.d.V. vari servizi, principalmente l'installazione, la gestione e l'esercizio di impianti di videosorveglianza. 

Il data breach che da travolto l'I.d.V. comprende dei fantastici tabulati contenenti i dati per collegarsi a quelle videocamere:

• indirizzo IP e porta per il collegamento
• indirizzo fisico
• username
• password
• tipo marca e modello, nome del cliente, referente, ecc.

In pratica, dato che è tutto online, da oggi chiunque "può" (nel senso che ha la possibilità tecnica di farlo, ma è e resta un reato) accedere a quelle videocamere e vedere in diretta le immagini, controllare i dispositivi e, in alcuni casi, accedere alla registrazioni. 

Queste aziende (nell'ordine di diverse migliaia) hanno un data breach in casa loro, una violazione al GDPR  rispetto alla quale sono titolari. Devono fare la segnalazione la Garante, devono avvisare le persone coinvolte: i loro collaboratori, clienti abituali, persino i ladri eventualmente ripresi dalle telecamere durante un furto. Trattandosi di immagini di videosorveglianza, difficilmente si potrà valutare questo come un evento a basso rischio.  Per fare tutto ciò, ovviamente, devono essere avvertite dall'I.d.V., altrimenti non lo sapranno mai e non potranno mai ottemperare, peggiorando la situazione. 

Ricordo che la notifica del data breach e l'avviso alle persone coinvolte sono forme di tutela, non farlo significa ingigantire il rischio per gli interessati coinvolti. Una tragedia nella tragedia.

In merito a username e password per l'accesso ai sistemi di videosorveglianza, ci sarebbero delle cosette ulteriori da dire... magari mi sbaglio, ma se i miei sospetti sono fondati, ci sarebbe da piangere e il Garante Privacy potrebbe piccarsi parecchio.

Immaginiamo che l'istituto di vigilanza MoTeSparo abbia usato per tutte le telecamere installate o collegate ai suoi sistemi  la username  "ADMIN" e "TeSparo". 

Immaginiamo che lo stesso istituto abbia impostato come unica password "MTS2015", appunto, perché non è mai cambiata dal 2015 in poi, uguale per tutte le videocamere e tutte le centraline, sempre la stessa, per tutti i clienti, per ogni cliente, o quasi.

Ho i brividi al solo pensiero. Anzi, ho i brividi punto.

Alcuni clienti hanno sottoscritto degli NDA, patti di non divulgazione e mi domando cosa potrebbero pensare se sapessero che tutti i loro dati sono finiti tutti in rete... NDA inclusi.

Malcapitato #2: ente pubblico, cliente dell'I.d.V.

Per fortuna non sono molti, ma quei pochi sono problematici. Gli enti pubblici svolgono funzioni molto particolari legate alla sanità, al territorio, a spazi di aggregazione. ecc. Se una telecamera di un cliente privato è una bomba, allora una telecamera di un ente pubblico è un missile Trident armato con testate nucleari multiple ed indipendenti. 

L'ente pubblico ha sempre un DPO, per legge, uno specialista che non può lasciarsi sfuggire la notizia del data breach. Se un impresa privata può astrattamente non accorgersi di nulla finché non viene avvisata, un ente pubblico, a quest'ora, deve aver già attivato l'ufficio legale per muoversi in autonomia, massiccio ed incazzato. Quel DPO, peraltro, dovrà anche iniziare a trovare ottime e solide scuse per non aver vigilato adeguatamente sulle modalità di gestione impianti da parte del fornitore. Tanto, si sa, si finisce sempre con il dare la colpa a "le cavallette".

Gli enti pubblici sono i titolari del trattamento affidato all'I.d.V. e penso che dovranno intervenire con un certo vigore per non finire sepolti da una valanga maleodorante (con riferimento alle colorite metafore iniziali).

Malcapitato #3: famigliola, cliente dell'I.d.V.

Questi sono i veri malcapitati. Nessuno ha accesso a specialisti, a DPO, a legali che li possano aiutare. Sono persone comuni che, per una trentina di euro al mese, contavano di aumentare la propria sicurezza e dormire sonni tranquilli. Del resto, le pubblicità fanno intendere proprio questo, no? Più telecamere uguale a più sicurezza, logico!

Peccato che non sia vero. Questo data breach ha comportato la diffusione in rete (sino ad ora) di tabulati con elenchi con i dati completi dei clienti privati. Si parla di oltre 12.000 famiglie (dodicimila famiglie!). 

Nomi, indirizzi, cellulari, email, dettagli abbastanza espliciti e sufficienti per permettere ad un malintenzionato di scegliere la vittima ideale.

"Da chi andiamo oggi? Dalla vecchia vedova ereditiera nella sua casa di campagna o visitiamo la casa al mare dal rampollo della più importante famiglia di industriali d'Italia? Aggiudicato, andiamo dalla bottana industriale"...

Ma anche per le persone comuni i rischi sono gravi ed immediati. Basta un uso criminale dei dati di contatto per mandare a segno truffe molto raffinate, irriconoscibili, basate sull'affidamento e sulla consuetudine.

"Salve Signor Bianchi, la chiamo dall'Istituto di Vigilanza MoTeSparo, in occasione dell'imminente ponte di Pasqua, volevamo omaggiarla di un servizio di guardianìa aggiuntivo, un nostro pensiero dedicato ai clienti fedeli come lei. Se ci comunica i giorni di sua assenza procederemo ad organizzare le ronde e ad informarla che a casa va tutto bene."

La tragedia nella tragedia di questa vicenda è che chi ha la sciagurata abitudine di usare fogli excel per gestire comodamente i dati delle videocamere, si trova talmente bene con il proprio geniale metodo da applicarlo anche ai codici di sblocco degli impianti anti intrusione. Sì, il codicillo per gestire gli allarmi è conservato su banalissimi fogli excel. L'I.d.V deve disporre di questi codici per poter disattivare gli allarmi, per gestire le centrali anche da remoto e per intervenire in caso di necessità. Ecco, questo toglie il sorriso a tutti, tranne che ai ladri.

Non ho parole, ma conosco qualcuno che ha trovato quelle giuste: "Sono le teste di cazzo come te che al mondo incrementano la razza dei ladri, è vero o no?"

Malcapitato #4: l'istituto di vigilanza

A chi farebbe piacere mettere online tutti i propri conti, i contratti, i preventivi, il fatturato cliente per cliente, servizio per servizio? Penso che sia la premessa per perdere una fetta consistente di lavoro perché, chiunque veda questi dati, può inviare offerte ben calibrate, vantaggiose, imperdibili e può facilmente distrarre molti degli 8000 clienti.

Ma non è tutto qui.

Come accade per le videocamere, i cui dati sono raccolti nei famigerati fogli excel condivisi con tutti, anche i dati di accesso ai portali per la qualifica sono diligentemente raccolti in un foglio excel. Un concorrente potrebbe divertirsi molto, entrando nei vari portali con le credenziali dell'I.d.V. che ha sofferto il data breach e danneggiandolo rispetto a gare, qualifica tecnico professionale, reportistica ordini, adempimenti su portali istituzionali, ecc. Ovviamente sarebbe scorretto, immorale e illegale, ma questo non ha mai fermato i competitor senza scrupoli. Una tragedia dal punto di vista commerciale.

Come Data Processor, l'I.d.V ha l'ingrato compito di avvisare dell'accaduto tutti i suoi clienti, i titolari del trattamento. Anche questo assomiglia molto ad un suicidio commerciale, ma non farlo rischia di costare anche di più perché, trattandosi di un adempimento previsto dal GDPR, potrebbe causare una mega sanzione del Garante... se solo il Garante non fosse così affaccendato e costantemente in carenza di personale e risorse.

Malcapitato #5: ogni lavoratore dipendente dell'I.d.V.

Il data breach non ha coinvolto solo i dati degli altri, dei clienti. Sono stati travolti anche i dati di cui l'I.d.V è autonomo titolare: i dati dei lavoratori. Rispetto ad essi, l'I.d.V deve procedere in autonomia a segnalare il data breach al Garante, deve avvisare i lavoratori stessi, deve cercare di rimediare. Auguri.

Eccola l'ultima ruota del carro, quel povero lavoratore che ora vede pubblicati online i suoi dati personali, i suoi documenti di identità, la patente, il porto d'armi, le sue foto, la busta paga, i suoi attestati di formazione, le sue contestazioni disciplinari, i procedimenti a suo carico... certo, non sono 12.000 e nemmeno 8.000, ma penso che siano tutti veramente angosciati da ciò che potrebbe accadere loro. Stiamo parlando di Guardie Particolari Giurate (GPG), persone che sono intervenute in occasione di rapine e furti, testimoni in processi contro criminali... non penso che faccia loro piacere condividere con il mondo informazioni così personali.

Malcapitato #6: le compagnie assicuratrici

La compagnia che ha emesso la scintillante polizza che copre dai rischi cyber si divertirà un mondo ad attivare le clausole che escludono ogni copertura. Sì, perché qui non c'è stato lo sfondamento di sofisticate tecnologie di protezione, correttamente gestite, da parte di un onnipotente e malvagia agenzia governativa straniera. La situazione ben più banale e ricorda l'incuria di chi lascia la macchina davanti alla stazione centrale, aperta, con le chiavi inserite nel cruscotto, il motore acceso, la portiera aperta ed un cartello con scritto "non toccare, torno subito!"

Anche la compagnia assicuratrice del DPO avrà modo di divertirsi parecchio, sempre che l'I.d.V. provi a distribuire le responsabilità e le colpe su chiunque abbia a tiro, cavallette comprese.

Quelli cattivi

E poi ci sono loro, quelli cattivi veramente: i cattivissimi.

Un cattivissimo non ragiona come le persone normali: non ha scrupoli, non ha altro pensiero che spremere tutto ciò che si può estrarre da ogni cosa su cui riesca a mettere le mani, dati compresi. 

Un cattivissimo non aspetta altro che poter spulciare i file pubblicati, sperando di trovare tabulati e fogli excel con sigle, codici e indirizzi.

Questi cattivissimi troveranno anche tutti i dati delle SIM installate presso gli impianti anti intrusione. Io non saprei cosa farmene, ma un cattivissimo si, saprebbe chiamare quei numeri, digitare i codici trovati sull'altro foglio excel e disabilitare impianti, modificarne la programmazione, rendere muto un sistema di comunicazione e, quindi spegnere un sistema anti intrusione, tanto per fare esempio di fantasia. Si può persino fare di peggio, basta dare una bella mancia ad un operatore in un negozio di telefonia... certe cose vorrei proprio non saperle.

Un cattivissimo si eccita vedendo una planimetria con la posizione dei sensori, delle videocamere perché si vede già all'opera, indisturbato e con il coltello dalla parte del manico. Per lui è quasi un invito, forse una sfida.

I cattivissimi esistono, sanno usare internet e sanno dove trovare i dati, anche perché ormai tutte queste informazioni sono di pubblico dominio.

Tutto questo con solo lo 0,5% del totale dei dati rubati all'I.d.V.

Si certo, toccare quei dati è un reato, ma i cattivissimi non si scompongono più di tanto. 

Quelli buoni

Il Garante Privacy è della partita. Ovviamente dovrà ricevere migliaia di notifiche di data breach e, se non le vedrà arrivare, potrebbe offendersi. Peraltro, la lista delle aziende da cui aspettarsi la notifica è proprio li, in bella mostra su internet. Non penso che l'Autorità possa prescindere da questa lista e non possa fare finta di non sapere chi avrebbe dovuto mandare la notifica. In altre parole, il Garante ha la possibilità (imho sarebbe meglio dire "il dovere") di confrontare la lista delle aziende coinvolte con le notifiche effettivamente ricevute. Se non lo facesse, sarebbe una grave negligenza, incompatibile con il ruolo istituzionale e pericolosa per la reputazione dell'Autorità.

Il Garante potrebbe offendersi a tal punto da fare una semplice ma drammatica domanda: "Scusi, I.d.V., ma quei dati che le hanno rubato si riferiscono tutti a clienti attivi, con i quali avete un contratto e verso i quali state erogando un servizio?".   Dio non voglia che in quei tabulati e fogli excel siano presenti anche dati di persone che non sono più clienti... (ricordiamolo: username, password, codici di accesso e disattivazione impianti anti intrusione, indirizzi e credenziali di telecamere, sim installate negli apparati di comunicazione, ecc.) Se così fosse, la situazione sarebbe molto più grave perché, oltre alla mancata protezione dei dati, oltre alla violazione di molte regole del GDPR, avremmo un vero e proprio reato (art. 615 quater c.p.) per il quale dovrebbe attivarsi la Procura. Questo scenario potrebbe mettere a rischio le autorizzazioni di PS necessarie per l'attività di Vigilanza. 

Che fare?

Se fossi un cliente di quell'I.d.V. che ha subito il data breach, rinuncerei all'idea di andare in spiaggia e inizierei subito a fare qualcosa per limitare i danni:

1. Staccare internet. I dati per accedere sono già online e chi li usa lo fa con sistemi automatizzati, script in grado di testare tutte le credenziali in brevissimo tempo. Anche se il tuo cognome fosse ZUZZURELLONI, non puoi sperare che ci voglia molto tempo per esaurire i clienti in ordine alfabetico. Anche se tu fossi ad Ovindoli, non puoi sperare che vadano prima in posti più comodi da raggiungere. Non funziona così. Stacca tutto, è meglio, almeno finché non avrai cambiato tutte le cose che è meglio cambiare.
2. Cambia le credenziali, tutte le credenziali. Disabilita completamente gli accessi con le username admin, administrator, tesaparo, ecc.  Se non li puoi eliminare o disabilitare, lasciali li ma cambia le password mettendo codici molto lunghi, complessi e casuali. Magari scriviteli su un foglio excel ** . Crea una nuova username solo per te, con una password solo tua.
3. Non accettare di condividere le tue credenziali con nessuno, nemmeno con I.d.V. Se il sistema non permette di creare almeno due credenziali distinte, una per te e una per gli altri, è una ciofeca, cambialo.
4. Probabilmente dovrai fare questa operazione su TUTTE le telecamere e anche sullo scatolotto centrale (VCR - IVR - NVR - NAS - qualsiasi cosa sia).
5. Sistema anche il router della tua connessione, anche per lui vale la stessa cosa. Cambia tutto e crea credenziali di accesso nuove e differenziate.
6. Se trovi una sezione con i MAC ADRESS autorizzati, cancella tutto, resetta tutto e ricomincia da zero.
7. Cambia i codici dell'antifurto. Attenzione, di solito ce ne sono alcuni che non vengono usati: cambia anche quelli.
8. Cambia le sim e i numeri telefonici presenti negli apparati di comunicazione, sia dati che voce ed sms. Lo so, è uno sbattimento ed un costo ma non puoi farne a meno.
9. Quando non funzionerà più nulla e dalla centrale ti avvertiranno che è saltato il collegamento, fai presente che lo hai dovuto fare a causa del loro data breach. Approfitta di questa occasione per anticipare il fatto che stai avendo molte spese perché alla fine dovrai mandarli il conto e loro ti dovranno rimborsare.
10. Diffida da ogni chiamata o email che potrai ricevere. Anche se compare il numero giusto, non ti fidare. chiedi chi è la persona e richiama il numero ufficiale del tuo fornitore.
11. Non cliccare su alcun link contenuto in messaggi di testo, sms o email, specialmente se sono link corti e strani (abbreviati, che non ti permettono di vedere dove puntano realmente). Anche per i link che ti sembrano normali, non ti fidare, controllali, anzi, no, non usarli, è meglio.
12. Non usare QR-Code. Ogni volta che usi un QR-Code piange un unicorno.
13. Per quanto tempo?  Beh, per sempre. I tuoi dati sono online, fattene una ragione. Ringrazia chi di dovere ma adeguati al tuo nuovo mondo fatto di ansia, sospetto e inquietudine. Se abbassi la guardia, diventi la prossima vittima.

Victim blaming?

Ma anche no. Le uniche vittime sono le persone coinvolte.

L'I.d.V. non è una vittima, è un complice.

Perché tutto ciò?

Principalmente per pigrizia e avarizia.

Si può conseguire ogni possibile certificazione, dotarsi delle migliori tecnologie, blindare le centrali operative con pareti invulnerabili... ma se tutto ciò ostacola la fluidità del lavoro, fa perdere tempo ed immediatezza oppure fa fare più fatica ai lavoratori, questi si organizzeranno in modo parallelo, non ufficiale, ma tollerato e implicitamente avvallato dall'azienda. Le certificazioni servono per far contenti i clienti, ma il lavoro si fa a cazzo di cane, come al solito. E così, in un attimo, ci si trova ogni dispositivo in azienda infestato di fogli excel con tutti i dati sottomano e nemmeno una blanda protezione, ci si ritrovano tutte le password identiche perché sono più semplici da gestire, tutto condiviso con tutti, si finisce per bypassare i sistemi di comunicazione e le procedure perché tanto ci si conosce e ogni cosa viene inviata al volo su whatsapp o, peggio, via email. 

Oltre alla pigrizia c'è anche un altro elemento importante che spiega molte cose, il millecinquecento: se un'azienda sceglie un DPO comodo, di quelli che non rompono eccessivamente e lo paga €1.500 all'anno, non può aspettarti né che sia un genio, né che ci metta l'anima.

Millecinquecento euro per un anno di servizio come DPO, in un primario istituto di vigilanza, con un vasto network, con clienti importanti ed esigenti, con un budget stellare, attività complesse e tecnologicamente evolute, con apparato commerciale vivace... potrebbe sembrare un insulto alla professionalità del DPO ma non è così, non ne farei una questione morale. È semplicemente una scelta: il desiderio di non investire e di ottenere solo un paravento formale, privo di qualsiasi contenuto consulenziale ed operativo. Per una realtà analoga, il costo del lavoro di un DPO si aggira su una cifra di un ordine di grandezza superiore, diciamo dieci volte tanto quanto speso da questo I.d.V.

Per carità, il DPO non è un firewall, non avrebbe fermato il data breach, con l'imposizione del suo maschio vigore, ma di fronte ad una situazione simile avrebbe dovuto storcere il naso e dare qualche buon consiglio. Oppure avrebbe dovuto rinunciare all'incarico, anche perché se non ci può mettere l'anima probabilmente ci dovrà mettere il culo.

Auguri collega.

Per capire,
per essere consapevoli,
per difendersi.

* Alcune delle certificazioni possedute
UNI EN ISO 9001:2015: Sistema di gestione Qualità
UNI ISO 45001:2018: Sistema di gestione per la salute e sicurezza sul lavoro
UNI 10891:2022 Servizi di Vigilanza: Servizi- Istituti di Vigilanza privata
UNI CEI EN 50518:2020: Centro di monitoraggio e ricezione allarmi
UNI EN ISO 14001:2015: Sistema di Gestione Ambientale
ATTESTAZIONE SOA
RATING DI LEGALITA’
UNI 10459:2017 Professionisti della Security
DM 154/2009: Regolamento per affidamento di servizi di sicurezza sussidiaria
IMQ FIRE-EVAC: Certificazione ambito rivelazione incendio
DM 269/2010: Regolamento degli Istituti di Vigilanza
DM 154/2009: Regolamento per affidamento di servizi di sicurezza sussidiaria
Art. 115 del TULPS: Intermediazione commerciale
Standard IWAY
ETHICAL TRADE CODE (Codice di Condotta)

** i lettori più attenti avranno intuito che questa è una subdola provocazione ed una velata presa per i fondelli. No, niente fogli excel. Esistono dei fantastici gestori di password che fanno molto bene il loro lavoro. In mancanza, piuttosto che un xls, è comunque meglio un libricino cartaceo da infrattare da qualche parte: non comunica online con il resto del mondo.