Leggere l’elenco delle vittime dell’enorme leak di 73.932 URL unici, chiamato “FortiBleed“, relativi ad apparati Fortinet violati.
Un enorme dataset frutto di attacchi a interfacce di amministrazione di dispositivi Fortinet esposte o VPN-SSL vulnerabili (ricordiamo i tanti CVE usciti negli ultimi anni su tale componente).
Nella lista, pubblicata anche sul portale ransomfeed.it anche 1251 URL italiani. Con nomi che, onestamente, lasciano diverse perplessità sulla reale situazione italiana in ambito cyber. Tralasciando nomi di aziende che, paradossalmente, trattano pure di cybersecurity, è il trovare nell’elenco realtà della Pubblica Amministrazione come scuole e comuni a lasciare decisamente perplessi.
Lo sottolinea la stessa AgID, attraverso il suo CERT, con una nota finale che lascia poco spazio alle interpretazioni: “Per le Pubbliche Amministrazioni, la protezione di VPN e firewall perimetrali non può essere trattata come una misura accessoria, ma come un presidio essenziale di sicurezza.“
Ed è proprio da qui, secondo me, che il leak FortiBleed sottolinea ancora una volta una lezione che anche il nostro Paese, e la nostra PA, fatica ad imparare: la sicurezza informatica non è un simpatico orpello da dover fare per essere compliance alle normative MA, invece, un elemento essenziale per garantire l’operatività e proteggere adeguatamente i dati personali dei cittadini italiani.
Non posso non chiedermi quante delle PA presenti nell’elenco, ricevuto il bollettino del CERT AgID, siano prontamente intervenute. Tutti quei sistemi sono da considerarsi, fino a bonifica avvenuta, compromessi. Avranno inviato la notifica di data breach al Garante entro le 72 ore previste dalla normativa, almeno la preliminare?
Viene quasi da chiedersi cosa accadrà adesso. Anzi, se devo proprio essere onesto, ho smesso anche di chiedermelo: non accadrà niente. Tutto proseguirà come prima, nell’indifferenza generale e nel fastidio di qualcuno che non comprenderà la gravità della situazione. Fino a che non sarà troppo tardi. O forse no, che tanto siamo un Paese resiliente, anche nel disastro.
Per completezza tecnica, ecco le indicazioni del produttore Fortinet in merito FortiBleed, con le necessarie indicazioni operative: https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices