Digitalizzazione e sicurezza, l'esperienza di Eurac: «Anche noi colpiti dal 'Man in the Middle'»

La sicurezza informatica è sempre più una priorità per ogni azienda: gli attacchi cibernetici aumentano e difendersi non è facile. Un ulteriore caso di truffa online, perpetrata attraverso la tecnica del “Man in the Middle” nei confronti di realtà altoatesine, è stato raccontato da Wolfram Sparber, Head of the Institute for Renewable Energy di Eurac Research, che ha partecipato da relatore all’evento «La Trasformazione Digitale: scenario globale e soluzioni per l’Identità Digitale Aziendale», organizzato da PwC Italia.

La digitalizzazione e la sicurezza

Sparber ha partecipato per raccontare la peculiare esperienza dei centri di ricerca scientifici nella collaborazione online adottando processi di identità digitale. Un processo che ha avuto come presupposto lo spostamento dei propri progetti da database locali interni a soluzioni in cloud, nello specifico Microsoft Teams, e di come questo processo sia stato effettuato tenendo conto di tutti i necessari gradi di riservatezza.

https://www.youtube.com/watch?v=oEdJTjyK6vk&t=4s

«Abbiamo diviso tutti i progetti in base ai team coinvolti: in questo modo i singoli collaboratori hanno accessi abilitati unicamente ad alcune aree dei server. C’è una parte generale aperta a tutti, mentre per quanto riguarda i progetti i singoli collaboratori vedono solo ciò che è di loro competenza – spiega Sparber -. La complessità cresce quando sono coinvolte nei progetti anche aziende private. Alcune di essere non vogliono nemmeno far sapere della collaborazione: in questi casi i progetti sono oscurati a tutti, escluso chi collabora direttamente e me in qualità di direttore».

Sparber ha continuato poi elencando altre misure di sicurezza che sono state adottate riguardo il salvataggio dei dati e la fruizione dei backup: «Abbiamo discusso con Microsoft per essere sicuri che i dati risiedano all’interno dell’Ue e del loro accesso. E soprattutto per capire dove sono i backup, per rendere sicuro il sistema e impedire a un possibile collaboratore, anche con alte abilitazioni, di eliminare i dati a lui accessibili».

Il Man in The Middle

Per quante misure di sicurezza si vadano ad adottare rimane però sempre il rischio di essere colpiti da attacchi hacker da parte di criminali informatici. La sicurezza digitale, così come quella “reale”, non arriva mai ad essere perfetta. Anche i criminali informatici sono sempre in evoluzione e trovano strategie d’infiltrazione sempre nuove. Il concetto del “Man in the middle” (letteralmente “uomo nel mezzo”) vede un utente che s’infiltra nel mezzo di una comunicazione per cambiarne i parametri, i codici o le chiavi. In questo specifico caso Eurac è stato oggetto di un attacco da parte di un hacker che si è inserito nella comunicazione tra l’istituto altoatesino e un partner germanico. Partendo dall’ingresso fraudolento nella mail di un collaboratore, il criminale ha cambiato i parametri di comunicazione facendo in modo che ogni mail inviata dall’azienda collaboratrice o da i ricercatori Eurac stessi, fosse ricevuta prima da lui per poi essere inoltrata alla controparte con le dovute modifiche.

«Date le finissime modifiche degli indirizzi e l’abilità del delinquente a cambiare registri linguistici e a scrivere in italiano, inglese e tedesco la possibilità di riconoscere la truffa a livello umano era particolarmente impossibile», spiega Sparber. L’episodio cardine della vicenda è avvenuto quando, al momento del pagamento, il delinquente ha cambiato gli indirizzi bancari facendo transitare il flusso di denaro su un conto di sua proprietà invece che sul conto di Eurac. Il delinquente poi ha cambiato la valuta da euro a criptovalute ed è sparito nel nulla. In questa truffa a rimetterci non è stata Eurac, che ha lanciato l’allarme appena si è accorta qualcosa che non tornava, ma il partner di progetto che ha poi dovuto rieffettuare il versamento che è così regolarmente arrivato all’istituto altoatesino.

Un caso che dimostra la sicurezza informatica è sempre perfettibile ma mai perfetta. In sistemi piccoli e grandi, come possono esserlo i centri di ricerca o le aziende, l’unica cosa sulla quale non si può avere il totale controllo è il fattore umano; un piccolo errore di un collaboratore può bloccare, come in questo caso, la comunicazione tra due grandi enti.

Ti potrebbe interessare