Nota: Trattandosi di un “studio del caso”, rispettando la privacy dei nostri clienti tutti i fatti, riferimenti e i nomi di persone sono di fantasia utili a indicare una situazione concreta per la quale abbiamo dato o possiamo dare il nostro contributo.
Il caso nel dettaglio
Una società fiduciaria del bellinzonese, la quale vantava un approccio “in vecchio stile”, la quale risultava antiquata dal punto di vista informatico, con l’arrivo della pandemia da COVID-19 e le relative disposizione per il lavoro distaccato si ritrova in seria difficoltà nel poter eseguire i suoi compiti. In oltre le chiusure fiscali si avvicinano, ma purtroppo devono adattarsi alle nuove disposizioni in materia di COVID-19 lavorando con buona parte dell’organico da remoto.
Quindi si attrezzano alla buona acquistando alcuni computer portatili usati, tramite un noto sito di aste svizzero e creano per alcuni dipendenti delle mail su di un spazio hosting localizzato negli USA acquistato grazie al coniglio del figlio del direttore finanziario della fiduciaria.
Altri dipendenti invece impiegano la propria mail privata, adibendola in tal modo a scopi aziendali. Purtroppo in tal modo non si rendono conto del fatto che oltre a non poter garantire un adeguata sicurezza dei sistemi mal aggiornati e mal configurati, parte dei dati sensibili vengono custoditi un all’estero.
Un venerdì sera a uno dei dipendenti giunge una mail da parte del supporto IT di un noto mail server, da esso usato che gli comunica una possibile violazione della sua casella email privata, dove però custodiva anche dati sensibili relativi ad alcuni clienti della fiduciaria. In effetti dopo un analisi viene rilevato un accesso non autorizzato, a causa di una mail troppo debole da parte di un pirata informatico che in base al IP risulta in Ucraina. Preoccupato il dipendente notifica l’accaduto al direttore il quale in preda al panico convoca d’urgenza la direzione al completo.
Dietro consiglio di un membro del consiglio si decide, dato che ormai i buoi sono scappati di procedere a notificare ai possibili clienti coinvolti la possibile fuga di dati, oltre a prevedere una consulenza per migliorare la sicurezza futura. Quindi veniamo contattati e ci viene chiesto di voler erogare una consulenza in materia di sicurezza dei dati.
Esecuzione del caso
Programmiamo un incontro in sede con il responsabile amministrativo, ovviamente mantenendo le dovute distanze. Ciò che ci ritroviamo è una situazione poco omogenea fatta di servizi e apparecchiature mal distribuite e configurate.
Ce chi utilizza un client mail sul proprio PC, chi lo utilizza sul cellulare e chi accede alla propria mail da remoto. Dopo aver chiesto la lista del notebook a disposizione dei collaboratori scopriamo che i sistemi risultano non aggiornati e privi di ogni concetto di sicurezza.
A questo punto decidiamo di organizzare un meeting in Skype coinvolgendo tutti i collaboratori. Da questo evento rileviamo che la mail violata possedeva una password del tipo “pippo123” e che la password era la medesima da sette anni.
Altri confidano che le proprie password contengono il nome del proprio cane seguita dalla data di nascita o la loro pietanza preferita. In oltre scopriamo che nell’arco dei mesi si sono trasferiti file in chiaro semplicemente allegando il PDF senza un briciolo di sicurezza.
A questo punto consigliamo alla fiduciaria di procedere mediante un tecnico alla riformattazione di tutti i dispositivi problematici con relativa nuova configurazione, ovviamente dopo aver eseguito i dovuti backup e di voler dismettere i dispositivi troppo antiquati per supportare un sistema sufficientemente aggiornato.
In oltre consigliamo vivamente alla fiduciaria, oltre ad altri consigli di voler passare univocamente a un servizio mail professionale per tutti con server ubicati in Svizzera e con le disposizioni tecniche utili a inviare mail criptate e protette.
Ambito: Consulenza
Tipologia: Sicurezza informatica di base
Tempo richiesto: 3giorni
Prezzo indicativo: ca. 490 CHF (IVA esclusa) + spese
Lascia un commento
Devi essere connesso per inviare un commento.