«Nessun furto di dati sensibili. Nessuna compromissione». Così l’università di Salerno lo scorso 30 giugno aveva assicurato gli studenti, dopo il panico diffusosi in rete alla notizia dell’attacco hacker di tipo Ransomware di cui era vittima l’ateneo, punto di riferimento nazionale sui temi della cybersecurity. Attacco tale da paralizzare per più giorni gli accessi al sito e i servizi online, rendendo necessario l’intervento immediato della task force di Incident Responce.
A seguito dell’attività di Digital Investigation, dopo sei mesi dall’attacco, la stessa università ha comunicato alla comunità studentesca l’esfiltrazione di alcuni dati. I dati sottratti, potrebbero includere nome, cognome, indirizzo, numero di telefono, indirizzo e-mail, data di nascita, luogo di nascita, genere, codice fiscale e le informazioni contenute in documenti di identità. La stessa università sottolinea, inoltre, «l’adozione di misure volte a recuperare e proteggere i dati sottratti».
Non si fa attendere la reazione degli studenti alla notizia della compromissione dell’integrità dei dati personali sottratti, prima messi all’asta andata deserta sul deep web ed ora disponibili probabilmente in rete. «Siamo contenti che si siano messi in moto per provare a recuperarli. Non siamo tranquilli perché non crediamo riusciranno a recuperarli. Speriamo che per il futuro una cosa del genere non accada più», affermano alcuni ragazzi di Ingegneria.
«Chi era ansioso, subito dopo l’attacco ha eseguito tutte le linee guida a cui invita l’ateneo.
Sui pericoli derivanti dalla sottrazione di dati interviene Alessandro Rubino, avvocato verticalizzato su tematiche cyber, fondatore della “LegalTech” nel settore delle tecnologie legali e del risk management. «Quando i dati sensibili di un’università vengono pubblicati online a seguito di un data breach, ciò comporta rischi di furto di identità, violazione della privacy, danni alla reputazione sia per il personale che per gli studenti, perdita di fiducia nell’istituzione, fino a conseguenze legali. Essenziale è adottare misure di sicurezza robuste, informare tempestivamente gli interessati e collaborare con le autorità per risolvere la situazione nel modo più trasparente possibile».
E sulle tempistiche aggiunge Rubino: «È possibile confermare un sospetto data breach anche dopo sei mesi, a seconda della complessità dell’indagine sulla sicurezza informatica o della scoperta ritardata di anomalie nei dati. Tuttavia, il rilevamento tempestivo è ideale per minimizzare i danni e intraprendere azioni correttive immediate. Si tratta di indagini molto approfondite per tutelare i dati sensibili degli studenti, dell’intero organico universitario e delle istituzioni amministrative, per capire davvero cosa sia successo per comprendere i danni reali e cosa sia stato rubato. A volte bisogna capire se la minaccia è reale e se davvero rubati e sparsi nella rete. È una questione complessa – prosegue Rubino - L’Informatica ci insegna che la resilienza non è mai al 100% sicura. L’università ha una struttura critica molto sensibile e una sicurezza molto alta, adeguata a tale struttura. Quello che è accaduto ha avuto bisogno di tempistiche più lunghe perché parliamo di dati strettamente legati a persone, studenti, insegnanti, discipline. L’ateneo è un incubatore di curriculum e modelli di istruzione. La quantità di dati da controllare è enorme. Può capitare ad agenzie di grandi dimensione, all’Aeronautica, al Senato e ai vari Ministeri».