Inizio della discussione
Ultima modifica:
Il caso Accenture squassa l’Agenzia per la cybersicurezza
Il caso Accenture squassa l’Agenzia per la cybersicurezza è una di quelle cose che ha creato un certo scandalo nella seconda settimana di marzo del 2023, infatti, ancora oggi Europa e più nello specifico l'Italia (prendiamo come riferimento il nostro paese non perché è il più attaccato, ma perché è il nostro e quindi è più semplice parlarne, non è manco quello messo peggio) hanno ricevuto attacchi su attacchi informatici.
1 Introduzione
Tra la sera del 6 e la mattinata del 7 marzo sono trapelate alcune informazioni imbarazzanti a dir poco, infatti, si è scoperto tramite i metadati di un PDF inerente al piano nazionale di sicurezza informatica che il suddetto documento non era prodotto dallo staff dell'Agenzia nazionale per la cybersicurezza, nata nel 2020 tramite i fondi istanziati dal governo Conte e in seguito Draghi, dopo aver visto i risultati degli attacchi del 2019 e anche quelli avvenuti lo stesso anno durante la pandemia di COVID 19. Questo ente prevede 800 posti di lavoro (in 6 anni circa, al momento non è ben chiaro quanti impiagati siano all'attivo visto che non si riesce a trovare una cifra congrua ogni articolo dice la sua), tra cui tutto lo staff tecnico che alla carta dovrebbe essere in grado di redigere tutte le direttive interne e che gestiva, e continua a gestire non pochi fondi tanto che si parla di piani con i fondi del Pnrr che alla carta ammontano a circa 623 milioni.
Infatti, gruppi di hackers come gli ormai famigerati "Noname057", in questo caso gruppo filo russo, sono riusciti a fare il buono e il cattivo tempo con le nostre reti statali tramite alle volte espedienti anche ridicoli. Dati alla mano molte delle infrastrutture nazionali sono obsolete e non più in grado di reggere alla minima aggressione. In molti casi con semplici attacchi DDOS intenti a creare un disservizio e alle volte anche di peggio con furti di dati dei cittadini italiani.
2 Le scoperte di Michele Pinassi
Effettivamente una bella domanda è "da chi parte lo scandalo?", in questo caso il responsabile di questa scoperta è Michele Pinassi, ex consigliere nel Comune di Siena per il Movimento 5Stelle ed ex capogruppo di Siena5Stelle, attualmente responsabile della cybersicurezza nell'università della stessa città. Egli scrisse sul suo profilo LinkedIn, il seguente post:
Non so quante Nadia Gullo ci siano in Italia e se una di esse è una dipendente dell’Agenzia per la Cybersicurezza Nazionale. Me lo chiedo perché l’unica Nadia Gullo che ho trovato è una Security Consulting Consultant presso Accenture e sarebbe davvero divertente se l’ACN si fosse fatta redarre (redigere, ndR) l’importante documento sul Manuale Operativo della Misura 82 da personale esterno. Probabilmente – conclude -, si sono solamente dimenticati di controllare i metadati del PDF. Oppure è una challenge di una qualche CTF in ambito ACN? Chissà…

Quindi già da queste parole possiamo dedurre quanto lavoro lo staff dell'Agenzia per la Cybersicurezza Nazionale abbia fatto, se non hanno modificato manco l'autore originale del documento. Ricordiamo che comunque è un ente prevede 800 posti di lavoro a libro paga dei contribuenti e se nessuno sa stendere manco un verbale di questo tipo ovviamente vengono dei dubbi a riguardo.
2.1 Reazione dell'ACN allo scandalo
In modo un po' infantile e anche vagamente paraculo, infatti, come siamo stati abituati qui in Italia, quando esce fuori uno scandalo si silura il presidente, infatti, Roberto Baldoni, colui che fondo l'ACN si è dimesso dal suo ruolo. Questa notizia arrivò sul pubblico come una folata di vento in uno rogo ardente, alimentando le fiamme, invece che spegnerle. Il fatto è che molte volte un presidente non sa tutto quello che succede all'interno del suo ente, semplicemente si occupa di amministrare il progetto, quindi magari neanche sapeva di questa manovra brillante dell'ACN.Tanto che anche il generale Umberto Rapetto ha fatto delle dichiarazioni in questione.
2.2 Le dichiarazioni di Rapetto
Visto che la faccenda risultava abbastanza losca e ridicola anche il generale Rapetto ha deciso di scrivere la sua opinione su Start, affermandonon sussistendo alcun caso di omonimia, il dottor Pinassi è stato costretto a constatare che la signora o signorina in questione lavora nella celeberrima società americana “Accenture” come “Security Consulting Consultant”) la ripetizione tautologica non è un refuso ma una sottolineatura del ruolo consulenziale fatto dalla stessa interessata).
Nessuno – annota Rapetto – discute della preparazione della dottoressa Gullo e della bontà del suo elaborato, ma in tanti si domandano se “certe cose” vagamente critiche dovessero essere appaltate all’esterno. Probabilmente l’Agenzia, nonostante le tante decorose candidature finite nel cestino, non ha nemmeno uno specialista che possa provvedere ad una simile incombenza. La magra remunerazione “Bankitalia style” probabilmente non ha ingolosito chi avrebbe potuto far bene quel lavoro oppure non è sufficiente per pretendere dai dipendenti ACN di mettersi all’opera.
L’aver sostituito il documento – conclude Rapetto – con un altro esemplare “ritoccato” con l’eliminazione del nome della Gullo porta a domandarsi se Emilio Fede avrebbe esclamato il fatidico “che figura di mmmerda” per la prima sventurata uscita o per quella della versione corretta.
Da queste sue affermazioni affermazioni si denota come il problema di questa scelta dell'ACN sia più che altro il fatto che stiano delegando un piano di sicurezza nazionale ad una azienda estera (che quindi fa capo ad un altro paese, in questo caso gli Stati Uniti), questo mette in mano al suddetto paese la nostra situazione non rosea a riguardo con comuni che hanno barriere di sicurezza informatica, fatte letteralmente con la carta crespa e la colla vinilica.
3 I dubbi che sorsero all'epoca dei bandi di assunzione
Una delle cose che fece storcere il naso a molti quando uscì il bando per l'assunzione degli 800 tecnici (previsti in 6 anni ma già contabilizzati in teoria) all'ACN fu il fatto che veniva valutato solo il voto di uscita dalle superiori o dall'università, non venivano considerate le certificazione degli ISP e delle aziende di telecomunicazioni come (Cisco, Oracle, IBM e tante altre), e non veniva fatta una post selezione per comprendere se le persone in questione fossero formati. Questo è un problema, perché un esperto di cybersicurezza tipicamente è uno che ha fatto anni su anni di pratica e ha un' esperienza forte a riguardo, non è il ragazzino appena uscito dalle superiori oppure il laureato che ha dato due esami di informatica, per svolgere questo mestiere non bastano, dopo aver fatto un percorso di studio bisogna fare corsi e tirocini per diventare idonei, per questo motivo risulta ridicola la modalità di accesso.
4 Video dedicato
Visto che non ci sono stati tanti video a riguardo me medesimo e il caro Giulio che voi conoscete come MRPants abbiamo deciso di dare una nostra opinione in merito:
Come al solito, a ruota libera considerando l'articolo di startmag.it e anche alcune esperienze di natura personale a riguardo, l'ironia è ben presente e anche quella rabbia è dovuta dal fatto che ci credevamo davvero a questo progetto, ma visto che la cybersicurezza qui in occidente, specialmente in Europa viene visto come un condimento per la pasta ci becchiamo casi simili.
link dell'articolo: https://www.startmag.it/innovazione/agenzia-per-la-cybersicurezza-nazionale-baldoni-accenture/
5 Conclusioni
Anche in passato gli enti pubblici hanno fruttato degli appalti, è una cosa normale e per certe cose ha pure senso, in questo caso la critica sorge per il semplice fatto che quello ad esser stato messo ad appalto è la semplice strategia di cybersec nazionale, cosa che si poteva gestire internamente, ovviamente pure io sono d'accordo sul fatto che ogni tanto ci debba essere una supervisione nell'operato dell'ACN da parte di una azienda di consulenze esterna, serve per mantenere alta la qualità delle strategie, ma fornire ulteriori informazioni nazionali potenzialmente sensibili ad un altro paese non è il massimo, lo sapiamo, comunque molti dei nostri dati sono già controllati dagli USA, basta solo pensare a motori di ricerca come Google, i vari social e tanto altro. Ma ci sono dei dati che per convenzione sarebbe meglio non fornire, sicuramente alcuni Metadati sono stati analizzati per questo piano e non fa piacere, e occhio si tratta di semplice premura non di paranoico o similare tutti usiamo servizi che di trasparente hanno poco, ma almeno su questo sarebbe giusto che di trasparenza c'è ne fosse un po' di più.
Sicuramente in caso di ulteriori scoperte il topic sarà aggiornato all'ultima info.