L’attacco hacker recentissimo e pesantissimo subito da una società che fornisce servizi a diverse entità della Pubblica Amministrazione ha rischiato di causare notevoli disagi. Ecco quindi che torna nuovamente alla ribalta delle notizie l’importanza di proteggere i propri dati nel mondo digitale. Le password sicure svolgono un ruolo determinante in questo contesto.
Molte violazioni dei dati personali sono strettamente legate alle vulnerabilità delle password e a una non corretta archiviazione delle credenziali di autenticazione in database non adeguatamente protetti con funzioni crittografiche. I cyber attacchi sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per accedere a diversi servizi.
Secondo i dati riportati dal Garante per la protezione dei dati personali, il furto di username e password consente ai cybercriminali di commettere diversi tipi di reati. I dati rubati vengono utilizzati per accedere illegalmente a siti di intrattenimento (35,6%), social media (21,9%) e portali di e-commerce (21,2%). In altri casi, consentono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).
Tenendo conto di questa esigenza e con l’obiettivo di aumentare il livello di sicurezza, sia per i fornitori di servizi digitali che per gli sviluppatori di software, l’AgID (Agenzia per l’Italia Digitale) e il Garante per la Protezione dei Dati Personali hanno elaborato specifiche linee guida sulla password sicura.
Le linee guida non riguardano il modo in cui una password personale deve essere generata per proteggere il proprio account, ma il modo in cui il fornitore del servizio deve proteggere la password per l’accesso. Pertanto, le linee guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password degli utenti.
Elevata necessità di sicurezza cibernetica
I soggetti interessati sono i titolari di SPID o CieID, i gestori PEC, i gestori di servizi di posta elettronica come banche, assicurazioni, operatori telefonici e strutture sanitarie. In altre parole, tutti quei soggetti che accedono a banche dati di particolare rilevanza o dimensioni, come i dipendenti della PA, o a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari.
L’obiettivo è fornire raccomandazioni sulle funzioni crittografiche attualmente considerate più sicure per la conservazione delle password, al fine di evitare che le credenziali di autenticazione (username e password) possano essere violate e finire nelle mani dei cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.
La protezione dei dati personali è fondamentale, dato che si verificano frequenti violazioni dei database dei principali social network, fornitori di caselle di posta elettronica e servizi di e-commerce, seguite dalla vendita delle credenziali trafugate in enormi magazzini virtuali sul mercato nero, oppure con il semplice scopo di danneggiare la reputazione delle aziende e delle entità coinvolte.
Si stima che nel dark web ci siano diverse migliaia di miliardi di credenziali in vendita e il costo medio globale di un attacco hacker nel 2023 sarà di circa 10 milioni di dollari. Da qui l’esigenza per le diverse istituzioni di aumentare gli investimenti nella sicurezza in seguito a una violazione. Il lavoro svolto con il Garante Privacy sulla conservazione delle password sicure rappresenta un importante passo avanti verso una maggiore protezione dei dati personali e della sicurezza informatica.
Lascia un commento