L’amministrazione pubblica francese ha registrato un nuovo episodio spiacevole con il data breach che ha colpito l’INSEE, l’istituto nazionale di statistica. Un pirata informatico è riuscito a violare l’annuario interno dell’ente, mettendo a rischio identità e contatti professionali di circa 12.800 persone. Per fortuna, almeno questa volta, i dati più delicati sembrano essere rimasti fuori dalla portata dell’intruso.
Va detto che non si tratta di un caso isolato. Da qualche settimana il servizio pubblico digitale francese sta vivendo una vera e propria serie nera. La messaggeria Tchap, la piattaforma Jeveuxaider.gouv.fr, l’Agenzia nazionale dei titoli sicuri e l’Agenzia del servizio civile hanno tutte subito fughe di dati o attacchi a un ritmo che, francamente, comincia a destare parecchie preoccupazioni. Venerdì 26 giugno è toccato all’INSEE, con un’intrusione individuata il 19 giugno proprio sull’annuario interno.
INSEE: cosa è finito nelle mani del pirata
Il conteggio parla di circa 12.800 persone coinvolte tra agenti in servizio, ex dipendenti e membri dei corpi dell’istituzione. Quello che è trapelato si limita all’identità e ai recapiti professionali, ovvero indirizzo email e numero di telefono dell’ufficio. Le informazioni più sensibili come password, coordinate bancarie, numeri di previdenza sociale e dati sanitari sono rimaste fuori dal perimetro dell’attacco. Stesso discorso per i dati statistici raccolti dall’INSEE nell’ambito delle sue missioni presso imprese e cittadini, che non risultano toccati.
Subito dopo aver scoperto la falla, l’ente ha messo in sicurezza i propri accessi collaborando con l’HFDS del ministero dell’Economia e con l’ANSSI. Ha inoltre notificato la CNIL ai sensi del GDPR e ha sporto denuncia presso il procuratore della Repubblica. Sui forum criminali circola la rivendicazione di un soggetto che si firma con lo pseudonimo “Saturne”, anche se al momento questa attribuzione non è stata verificata in modo indipendente. L’intrusione, invece, è confermata.
Attenzione ai tentativi di truffa
L’INSEE ha tenuto a precisare che non chiede mai pagamenti per l’iscrizione al registro Sirene, né tantomeno dati bancari o password. Qualsiasi messaggio che dovesse sostenere il contrario nelle prossime settimane va trattato con la massima diffidenza, perché potrebbe trattarsi di un tentativo di phishing che sfrutta proprio questa falla.
Sul fronte istituzionale, il governo francese ha annunciato un piano da 200 milioni di euro per rafforzare la cybersicurezza delle amministrazioni, nel quadro della direttiva NIS 2. Curiosamente, però, i dettagli precisi su come verrà finanziato questo intervento restano ancora da chiarire.