All'inizio di febbraio la compagnia di assicurazioni sulla salute, Anthem, ha subito un attacco informatico che ha causato una fuoriuscita di milioni di dati sensibili relativi ai propri assicurati. I dati erano in chiaro: sarebbe cambiato qualcosa se fossero stati crittografati?

Sulla crittografia ci sono diverse discussioni presso i professionisti dell'ICT Security, taluni convinti che sia solo una questione di tempo e potenza elaborativa riuscire a decodificare i dati cifrati. Nuove tecnologie appoggiate al cloud, come, per esempio, Atalla di HP Enterprise Security Product, promettono invece una protezione sicura.

La questione non è banale, ma è confinata su un piano tecnico, perché dal punto di vista strategico la questione se usare o no la crittografia non andrebbe posta: è un po' come decidere se installare o no una porta blindata. I ladri professionisti sono certamente in grado di scassinare qualsiasi porta, ma il tempo e le risorse che devono impiegare per superare una barriera più resistente può fare la differenza.

Lo stesso vale per gli sforzi e i costi che si devono sostenere per crackare un sistema di cifratura: non tutti sono in grado di farlo o, meglio, non tutti si possono permettere il costo dell'infrastruttura necessaria, anche considerando il probabile abbassamento dei prezzi con una crescente offerta di "hacking as a service".

Milioni di dati trafugati dai database di Anthem

Le leggi federali statunitensi in materia di protezione dati consigliano, ma non obbligano a cifrare i dati, neanche quelli sanitari. Al contrario della normativa italiana. Già nella precedente formulazione esisteva un comma che imponeva "per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato".

Comma abrogato nel 2013, ma sostanzialmente sostituito da altri due commi, il 6 e il 7 dell'articolo 22, intitolato "Principi applicabili al trattamento di dati sensibili e giudiziari":

• 6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
• 7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.

Di fatto, la cifratura è obbligatoria, ma solo per i dati sensibili e giudiziari e, specificatamente, quelli relativi alla salute e alla vita sessuale. Questo anche se, come appunto previsto dalla legge, sussistono strumenti di autenticazione e protezione che limitano l'accesso ai dati.

Oggi le tecniche di attacco sono molto sofisticate, consistendo in più fasi: ognuna di queste rappresenta uno sforzo che il cybercriminale deve compiere. Occorre implementare tecniche di difesa per ciascuno stadio dell'attacco, in modo da aumentare l'efficacia e riuscire a fermarlo.

Per la cronaca: si sospetta che l'attacco sia stato realizzato da criminali cinesi interessati soprattutto a "rubare" i numeri della prevenzione sociale, che negli Stati Uniti equivalgono praticamente a una carta d'identità.