InfoCert, l’attacco hacker “solo” l’ennesimo campanello d’allarme per la compliance NIS 2

InfoCert, l’attacco hacker “solo” l’ennesimo campanello d’allarme per la compliance NIS 2. Intanto la cronaca:

Il 27 dicembre 2024, InfoCert, uno dei principali provider di servizi digitali in Italia, ha subito un attacco informatico che ha compromesso i dati personali di 5,5 milioni di clienti. Le informazioni sottratte includono nomi, cognomi, indirizzi e-mail, codici fiscali e numeri di telefono, successivamente messe in vendita sul deep web.

Più nel dettaglio InfoCert è una delle principali società europee attive nel settore dei servizi fiduciari digitali, certificazione elettronica e gestione documentale. Fondata in Italia, è parte del Gruppo Tinexta, un importante player nel mercato delle soluzioni per la digitalizzazione e la sicurezza dei processi aziendali.

InfoCert, dopo avere rilevato una pubblicazione non autorizzata di dati personali relativi a clienti presenti nei sistemi di un fornitore terzo, ha prontamente avviato indagini approfondite e ha informato le autorità competenti. InfoCert ha rassicurato i propri utenti dichiarando che nessuna credenziale di accesso ai servizi InfoCert o password è stata compromessa durante l’attacco.

Inoltre, InfoCert ha sottolineato che l’integrità dei propri sistemi non è stata compromessa e che la pubblicazione illecita dei dati è avvenuta su un sistema esterno alla propria rete di sicurezza. L’azienda ha ribadito il suo impegno nel garantire la sicurezza dei dati dei propri clienti e ha assicurato che fornirà ulteriori aggiornamenti non appena saranno disponibili ulteriori informazioni.

Al netto della pura cronaca, in queste ore, un simile attacco, ha sollevato serie preoccupazioni sulla sicurezza dei dati sensibili, soprattutto considerando che InfoCert, come anticipato, gestisce servizi cruciali come le identità digitali SPID e i certificati qualificati. Ma c’è di più ed è un qualcosa che ha a che fare con uno dei temi chiave nel 2024: la compliance alla NIS 2 (qui la guida completa per sapere cosa è la NIS 2), la normativa europea, entrata in vigore in Italia il 16 ottobre 2024, che impone agli operatori di servizi essenziali e alle aziende che gestiscono infrastrutture critiche di adottare misure più stringenti per la gestione dei rischi informatici e la protezione delle infrastrutture digitali.

Una normativa che, tra le tante cose, pone un fortissimo accento proprio sulle garanzie di sicurezza di fornitori e supply chain a cui queste stesse imprese che forniscono servizi essenziali, si affidano. Un richiamo che sembra scritto su musica sul caso InfoCert, e molti altri degli ultimi mesi, in cui proprio nella filiera, nella catena di dati e “servizi al servizio” di imprese strategiche è diventato il centro del mirino dei cyber criminali.

La NIS 2: uno strumento essenziale per la protezione digitale

La Direttiva NIS 2, che amplia il campo d’azione della precedente normativa NIS (Network and Information Security), rappresenta un passo significativo verso il rafforzamento della sicurezza informatica a livello europeo. La nuova normativa introduce una serie di obblighi per le organizzazioni, tra cui:

• Valutazione del rischio: Le aziende devono identificare e mitigare i rischi che potrebbero compromettere la continuità dei servizi essenziali.
• Gestione degli incidenti: Devono essere implementati piani dettagliati per rilevare, rispondere e riprendersi da attacchi informatici.
• Protezione della supply chain: Le aziende devono garantire che anche i fornitori rispettino elevati standard di sicurezza.
• Monitoraggio e notifica degli incidenti: Gli operatori devono segnalare tempestivamente eventuali attacchi o anomalie significative alle autorità competenti.

L’obiettivo principale della NIS 2 è creare un ecosistema digitale resiliente, capace di proteggere i dati dei cittadini e garantire la continuità dei servizi essenziali anche in caso di attacchi informatici.

Il senso della NIS 2, e della compliance, per le aziende

Lezioni apprese, e da apprendere, dall’attacco a InfoCert 

L’attacco a InfoCert evidenzia le difficoltà pratiche che le aziende possono incontrare nel garantire la sicurezza dei dati, soprattutto in un contesto in cui gli hacker utilizzano tecniche sempre più sofisticate per eludere i sistemi di difesa. Questo incidente dovrebbe fungere da monito per tutte le organizzazioni che operano nel settore digitale, spingendole a rivedere le proprie strategie di cybersecurity.

Adeguarsi alla NIS 2 non è solo una questione di compliance normativa, ma anche un investimento nella protezione della reputazione aziendale e nella fiducia dei clienti. Gli utenti sono sempre più consapevoli dei rischi legati alla sicurezza dei propri dati e tendono a preferire fornitori che dimostrano un impegno concreto in questo ambito.

Ma c’è, ancora di più, proprio il richiamo, e il focus che questa normativa pone sulla catena dei fornitori che ruota intorno alle imprese strategiche, è anche e soprattutto un monito per tutto il canale di provider di servizi digitali che, sulla spinta della corsa al cloud scatenatasi dopo la pandemia, si stanno presentando sul territorio, alle porte delle aziende italiane.

Essere managed service provider, cloud provider oggi vuol dire anche e soprattutto avere le spalle larghe per essere credibili e sicuri nel gestire dati, processi, applicazioni di imprese, grandi o piccole, ma che hanno nel patrimonio informativo la loro linfa vitale.

Un futuro di maggiore consapevolezza e sicurezza

Per evitare che episodi come quello di InfoCert si ripetano, è fondamentale che le aziende adottino un approccio proattivo alla sicurezza informatica, basato su formazione continua, aggiornamento delle tecnologie e collaborazioni strategiche con esperti di cybersecurity. Inoltre, la conformità alla NIS 2 dovrebbe essere vista non come un obbligo burocratico, ma come un’opportunità per rafforzare la propria resilienza digitale.

In un’epoca in cui i dati rappresentano uno degli asset più preziosi per le organizzazioni, garantire la loro protezione è una responsabilità che non può essere sottovalutata. L’attacco a InfoCert ci ricorda che il percorso verso una maggiore sicurezza informatica è lungo, ma necessario, per costruire un ecosistema digitale più sicuro e affidabile.