25月XNUMX日、ローマでは天気だけでなく、気温も常に高くなります。 数日前に政府が崩壊しましたが、今日は歳入庁の番であるようです。 ソーシャルメディアでは、ニュース、半分の噂、否定が追いかけられています...「エージェンシーはハッキングされました...」
歳入庁は宣言します 「ソーシャルメディアに掲載され、税務情報システムからのデータの盗難に関する報道機関によって取り上げられたニュースを参照して、歳入庁は、完全所有の公的企業であるSogeiSpaにフィードバックと説明を直ちに要求したと指定しています。財務行政の技術インフラを管理し、必要なすべてのチェックを実施している経済財務省」.
「ニュースを否定しました...」
Sogeiは次のように述べています 「財務管理のプラットフォームや技術インフラストラクチャからサイバー攻撃やデータが盗まれることはありません」.
誰が正しいですか? イタリアではいつものように、あなたは何も理解していません!
しかし、最もよく知られた人は、彼らがのファイルを見たと言います ファイルシステム、ユーザーごとに整理され、個人文書、IDカード、パスポートを使用して..。 2022年にまだこのようにデータを整理している人がいる可能性はありますか? なぜデータベースではないのですか?
しかし、それは本当に歳入庁からのデータですか?
しかしとにかく、これは状況です:
残念ながら、最悪の事態を想定する必要があります。つまり、LockBitが実際にエージェンシーをハッキングし、データを所有しているということです。
LockBitは、XNUMX日以内のデータ公開のペナルティの下で、身代金を要求します。
それでは、考えられるいくつかの行動方針を考えてみましょう。
- 州は身代金を支払わないことを決定します。 単純で、結果はすでに明らかです。 盗まれたデータは約75GBのようで、公開され、おそらく一部は闇市場で販売され、事件のすべての結果がもたらされます。 詐欺、なりすまし、恐喝...はい、歳入庁のDBにあったすべてのサブジェクト(またはその一部)の財務データであるためです。
- 州は支払うことを決定します。 ハッカーは正直であり、補償を受けた後、盗まれたデータを返し、作成されたコピーをすべて削除します。 信頼できる仮説? 私はほとんど言いません。 しかし今、オムレツは完成しました。やるべきことは彼らの正直さへの希望だけです。 そして、もし彼らが不誠実であるならば、それは身代金を支払ったという悪化する状況でケースXNUMXに戻るでしょう。
- 州は、近年作成されたすべての構造を動かしています、すべてのNIS指令をアクティブにし、無数の規制基準と彼の最高の男性を利用して...
残念ながら、私は仮説を使い果たしましたが、疑問は残ります:
- これはどのように起こりますか? 規則では、特に機密性の高いデータは少なくとも暗号化する必要があると規定されています...私たちのデータでしたか? 公開されたスクリーンショットを見ると、そうではないようです。
- そしていま? 何が起こったのか誰が支払うのですか? 右下の技術者ですか、それともデータ所有者ですか? 共同所有者は、攻撃が確認された場合、共同責任のある組織が異なる可能性があることを考えると、まず第一に代理店だけでなく、Sogei会社も異なる可能性があります。 確かにプライバシー保証人は彼の発言権を持っているでしょう。 集団訴訟を考えることさえできるかもしれませんが、真剣に考えましょう。タラルッチとワインがなければ、どうやって終わらせることができるでしょうか。
残念ながら、人が言うことができることは、事故の前の瞬間に物事を戻すのに役立ちません。 それでも時々XNUMXつ 健康的な予防、 正しい情報と担当者のトレーニング との活動 バグバウンティ e 五芒星 彼らは助けることができます。
しかし、あなたは私たちが何について話しているのかを知る必要があります...そしてそれは常にそうであるとは限りません!
Alessandro Rugolo、Danilo Mancinone、Ugo Micci、Carlo Mauceli、Federica MR Levelli
