Responsabile Group Security
«Un episodio del genere non succederà più.»
Sconosciuti hanno sottratto dati personali dei clienti Swisscom, dati che la Legge sulla protezione dei dati definisce come «non degni di particolare protezione». Philippe Vuilleumier, responsabile Group Security, spiega cos’è successo, come viene impedito il furto di dati sensibili e cosa verrà fatto per proteggere meglio tutti i dati.
Roger Baur, 7 febbraio 2018
Sconosciuti hanno sottratto i dati di circa 800 000 clienti Swisscom. Che cos’è successo di preciso?
Uno sconosciuto si è illecitamente impossessato dei diritti di accesso di un partner di distribuzione a questi dati dei clienti. Si tratta di nome, indirizzo, numero di telefono e data di nascita dei clienti, necessari per poterli identificare. La Legge sulla protezione dei dati li classifica come «dati personali non degni di particolare protezione», perché in gran parte sono disponibili pubblicamente o tramite ditte specializzate nel commercio di indirizzi.
È stato un attacco hacker?
No, login e password non sono stati violati bensì sottratti a un partner di distribuzione lo scorso settembre e poi usati per accedere ai dati senza farsi notare.
Perché i partner di distribuzione possono accedere a questi dati?
I partner di distribuzione commercializzano i nostri prodotti e hanno bisogno di accedere a questi dati per fornire consulenza ai clienti, mutare i dati stessi e sottoscrivere nuovi contratti.
Non sono stati sottratti anche dati sensibili come ad esempio le coordinate di pagamento?
No, abbiamo già una protezione rafforzata per i dati più sensibili, come ad esempio le password e i numeri di carta di credito. Perciò sono rimasti immuni. I dati sottratti sono relativamente poco problematici e in genere vengono resi pubblici anche volontariamente negli elenchi telefonici o sui social media. Ciò nonostante, episodi come questo non devono succedere. Col senno di poi dobbiamo constatare che i nostri requisiti tecnici di sicurezza non erano sufficienti a evitare un accesso criminale di questo genere.
«No, ad oggi non sappiamo nulla dell’identità dei colpevoli. Però stiamo lavorando a stretto contatto con il partner di distribuzione vittima dell’abuso e stiamo valutando tutte le azioni legali.»
Sappiamo che fine hanno fatto i dati copiati e chi si nasconde dietro?
No, ad oggi non sappiamo nulla dell’identità dei colpevoli. Finora le nostre indagini forensi sono giunte alla conclusione che usavano un indirizzo IP francese. Però stiamo lavorando a stretto contatto con il partner di distribuzione vittima dell’abuso e stiamo valutando tutte le azioni legali. Anche l’Incaricato federale della protezione dei dati e della trasparenza è stato informato. In ogni caso è ragionevole supporre che nessuno abbia usato i dati, perché sui collegamenti a cui si riferiscono non abbiamo rilevato alcun aumento dell’attività. I clienti, quindi, non hanno subito danni.
Come fanno i clienti per scoprire se sono tra le vittime e come possono proteggersi?
Tutti i clienti possono semplicemente spedire un SMS con il testo «Info» al 444 per scoprire se i propri dati sono stati sottratti. I clienti di rete fissa e i clienti commerciali sono stati informati con un’e-mail e una lettera. Ai clienti rimasti vittima dell’abuso consigliamo di usare il Callfilter gratuito per bloccare le chiamate pubblicitarie indesiderate. Perché è questa la cosa peggiore che si può fare con i dati sottratti: pubblicità indesiderata.
Quanto è grave questo episodio per Swisscom?
Si tratta di dati che spesso vengono comunicati volontariamente negli elenchi telefonici, sui social media o partecipando a concorsi. In gran parte, quindi, sono disponibili anche tramite ditte specializzate nel commercio di indirizzi. Però Swisscom non può permettersi un episodio del genere. Ci dispiace per l’accaduto e sappiamo di dover fare meglio. Abbiamo già adottato tutte le misure per evitare che qualcosa di simile possa ripetersi!
Che cosa facciamo per evitarlo?
Abbiamo subito rinforzato le precauzioni interne di sicurezza con misure molto più severe in grado di evitare un altro abuso come questo. Ora la protezione rinforzata non si limita ai dati sensibili dei clienti ma copre anche i cosiddetti «dati personali non degni di particolare protezione»: gli accessi delle ditte partner sono più sorvegliati e, in caso di operazioni inconsuete, viene generato subito un allarme. In più, le consultazioni più estese sono tecnicamente impossibili. Ulteriori precauzioni verranno adottate nel corso dell’anno.
In questo caso non sono stati sottratti dati sensibili. Ma quanto sono sicuri i dati davvero degni di protezione, che cosa fa Swisscom?
Effettivamente investiamo molto nella nostra sicurezza, nella sicurezza dei nostri dati, e la miglioriamo continuamente. Ad esempio con il nostro «Red Team», ovvero un gruppo di hacker interni. Oppure il programma «Bug Bounty», che sta avendo grande successo. In questo caso invitiamo esperti di sicurezza esterni a mettere alla prova i nostri sistemi e segnalarci i punti deboli che scoprono. In cambio ricevono un premio, chiamato Bounty. Siamo la prima azienda in Svizzera a lanciare un programma di questo genere. Serve ad avere un’idea del tipo di attacchi che potremmo subire. Perché sono più di quanti si potrebbe pensare: 3,6 milioni al mese, ovvero più di uno al secondo.
E stanno aumentando?
Assolutamente sì! Il crimine organizzato ha già scoperto da tempo che online si possono fare soldi rapidamente e senza troppi rischi. Letteralmente senza sporcarsi le mani. Per questo non risparmiamo gli sforzi per proteggere sempre meglio i nostri clienti in collaborazione con le autorità, i partner e i clienti stessi. E lo facciamo anche con nuovi prodotti: dalla prossima primavera offriremo «Internet Guard», un filtro di sicurezza gratuito che segnala i siti web pericolosi ancora prima che vengano aperti.
Ritratto
Dal 2015 il Chief Security Officer Philippe Vuillemier è responsabile a livello di Direzione del Gruppo per tutte le questioni legate alla sicurezza di Swisscom.