Andy's Weblog

Il valore della compromissione degli account lunedì 19 dicembre 2011

Ho recentemente letto la notizia relativa ad un attacco al Ministero per la Pubblica Amministrazione ed Innovazione.

Su pastebin potete trovare l’elenco degli account compromessi.

Indipendentemente dalle considerazioni che si possono fare sulla competenza e sulla serietà nella gestione della sicurezza del sito (per l’attacco è stata utilizzata una semplice SQL Injection), viene comunque spontaneo chiedersi quale sia il danno conseguente.

Uno dei problemi più complessi nella valutazione dei rischi è proprio la valutazione del danno indiretto.

Ciò nondimeno, è intuitivo e certo che un danno ci sia: pur non provando a quantificarlo, possiamo come minimo considerare:

• la perdita di immagine,
• il costo per eliminare le vulnerabilità sfruttate,
• il costo per ogni utente per cambiare la propria password,
• l’eventuale sfruttamento dei profili compromessi.

Sarebbe quindi davvero interessante riuscire a fare una valutazione del danno economico (anche spannometrico) derivante dalla perdita di un account, e richiedere l’addebito sullo stipendio dei responsabili degli equivalenti importi.

Tutto sommato chi gestisce in modo incompetente la sicurezza dei sistemi della PA procura un danno economico e di immagine allo stato, e quindi ai cittadini.

Come ‘incentivo’ a gestire le cose in modo un po’ più serio potrebbe essere interessante ipotizzare anche il semplice addebitare un importo simbolico (10€  per account compromesso possono andare bene?), ciascuno moltiplicato per il suo ‘peso’ (ovverosia per il livello gerarchico nella PA – che in qualche modo rende proporzionale il rischio) ai responsabili ed agli amministratori di sistema.