– a cura dell’ing. Giancarlo Di Lieto –
Ciò che è capitato al sito di INPS al primo giorno in cui è stato possibile fare richiesta del bonus di sostegno per determinate categorie di lavoratori è solo l’ennesimo episodio, magari ancor più eclatante, di quanto in generale la sicurezza informatica non sia presa in debita considerazione nella realizzazione dei sistemi IT da parte delle aziende sia pubbliche che private.
L’incidente verificatosi sul sito INPS non è stato solo un problema di incapacità di reggere il carico di un numero eccessivo (ma prevedibile) di utenti connessi contemporaneamente ma, cosa ben più grave, ha determinato una palese violazione di dati personali di un certo numero di utenti che hanno visto i propri dati resi pubblici, non solo su quel sito ma divulgati in pochissimo tempo facendo il giro della Rete.
Non sono ancora note le cause di una siffatta debacle, verosimilmente dovute ad un crash del sistema per il sovraccarico piuttosto che ad un attacco hacker che avrebbe sfruttato delle vulnerabilità del sito web, fatto sta che gli utenti che si sono collegati al sito, si sono ritrovati ad accedere ai dati personali, in alcuni casi anche sensibili, di altri utenti con una logica del tutto casuale e sconcertante.
Data breach
Questo spiacevole episodio, che vedremo nei prossimi giorni se porterà conseguenze legali all’Ente a causa di denunce per data breach (ai sensi dell’art 33 del GDPR), ha messo ancora più in evidenza quanto la sicurezza costituisca un elemento imprescindibile nella fase di progettazione di qualsiasi sistema informatico, soprattutto quando ne va di mezzo la tutela dei dati personali dei cittadini.
I principi sanciti dal GDPR relativi alla protezione dei dati fin dalla progettazione (Privacy by Design) e protezione per impostazione predefinita (Privacy by Default), l’adozione di misure di sicurezza adeguate per garantire la mitigazione dei rischi (Security by Design) che insorgono maggiormente in siffatte situazioni di particolare stress dei sistemi informatici, avrebbero potuto sicuramente evitare l’incidente di sicurezza.
Ancora una volta, però, la fretta forse di raggiungere il traguardo in tempi brevi (anche giustificabile vista la finalità dell’obiettivo) ha visto sacrificare il rispetto di questi principi che, invece, devono costituire le fondamenta obbligatorie di qualsiasi sistema che tratta dati personali, a maggior ragione quando è un servizio essenziale per milioni di cittadini.
Author: ing. Giancarlo Di Lieto
Head of Security & Compliance
Innovery SpA
Our Fact Checking Process
We prioritize accuracy and integrity in our content. Here's how we maintain high standards:
- Expert Review: All articles are reviewed by subject matter experts.
- Source Validation: Information is backed by credible, up-to-date sources.
- Transparency: We clearly cite references and disclose potential conflicts.
Our Review Board
Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.
- Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
- Up-to-date Insights: We incorporate the latest research, trends, and standards.
- Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.
Look for the expert-reviewed label to read content you can trust.