Un penetration test del Board of Audit and Inspection sudcoreano ha fatto emergere gravi vulnerabilità in tutti i sistemi esaminati. Un esempio interessante per le PA europee.
Autore: Redazione SecurityOpenLab
In Corea del Sud, un penetration test condotto da hacker etici e coordinato da agenzie di sicurezza nazionale ha portato alla compromissione di tutti e sette i sistemi pubblici critici che sono stati analizzati. La notizia arriva dal Board of Audit and Inspection (BAI) sudcoreano, che ha pubblicato il report di un audit sulla “Personal Information Protection and Management Status”, citato da diversi quotidiani nazionali. A quanto si apprende dalle testate giornalistiche, tra i 123 sistemi classificati dalla Personal Information Protection Commission (PIPC), i sette selezionati perché ad alta concentrazione di dati personali sono stati indicati come infrastrutture da sottoporre a gestione intensiva.
Secondo quanto riportato dal Korea JoongAng Daily e da altre testate sudcoreane, gli hacker etici ingaggiati, affiancati dal National Security Research Institute e dal Cyber Operations Command, hanno individuato vulnerabilità sufficienti a ottenere accesso non autorizzato ai dati degli utenti. Fra gli scenari emersi ce ne sono alcuni estremi in cui risultava possibile interrogare numeri di registrazione dei residenti e informazioni collegate per circa 50 milioni di persone, vale a dire quasi l’intera popolazione del Paese. In un altro sistema, gli auditor hanno dimostrato che, sfruttando controlli carenti sulle query, si potevano sottrarre i dati di 10 milioni di utenti in 20 minuti, semplicemente eseguendo richieste massive non bloccate da meccanismi di rilevazione delle anomalie.
Un ulteriore esempio citato nel report riguarda un sistema in cui le informazioni critiche di accesso non erano cifrate: una volta ottenuti privilegi amministrativi, gli hacker avrebbero potuto esfiltrare i numeri di registrazione di 130.000 persone partendo da credenziali conservate in chiaro. Altri sistemi presentavano controlli deboli sulla validazione dei parametri nelle richieste, tanto che manipolando alcuni campi era possibile visualizzare i dati di oltre 3.000 utenti senza alcuna autorizzazione, oppure reiterare le query fino a scaricare interi set di dati di identità. In sintesi, il BAI conclude che tutti i sistemi ispezionati erano vulnerabili a violazioni potenziali dei dati personali, con rischi di furto di identità e di abusi su larga scala delle informazioni sensibili. Contestualmente, il Board of Audit and Inspection ha notificato al presidente del Personal Information Protection Committee la necessità di condurre un'ispezione annuale delle vulnerabilità di sicurezza tramite agenzie specializzate e di attuare misure di mitigazione, come la crittografia dei numeri di telefono, per prevenire il phishing vocale.
Per motivi di sicurezza, i rappresentanti del BAI non hanno reso noti i nomi dei sistemi interessati, le tecniche di attacco attuate e i dettagli dei penetration test per scongiurare il rischio di trasformare le infrastrutture stesse in bersagli immediati per gli attaccanti. La BAI ha comunque notificato i risultati dell’audit ai responsabili delle istituzioni che gestiscono i sette sistemi oggetto di test e ha dichiarato che le vulnerabilità individuate sono state corrette.
Il report ha messo in luce anche problemi meno spettacolari, ma comunque indicativi del livello di maturità della sicurezza nella PA sudcoreana. Per esempio, presso l’ufficio scolastico della provincia di Gyeonggi, circa 3.000 insegnanti a contratto in pensione potevano ancora accedere a un sistema di amministrazione perché i loro account non erano stati disabilitati alla cessazione del rapporto di lavoro.
Il BAI evidenzia altresì che, in caso di fuga di dati, la PIPC dovrebbe richiedere a titolo preventivo il reset di password e ID di tutti gli utenti dei siti coinvolti per ridurre i rischi di attacchi successivi condotti sfruttando le credenziali esfiltrate. All’atto pratico, tuttavia, questo non avviene.
L’audit oggetto di questo articolo riguarda la Corea del Sud, ma quanto accaduto può essere visto come un caso di studio da cui anche le istituzioni europee in generale e italiane in primis possono trarre alcune lezioni importanti. Il primo dato su cui riflettere è che tutti i sistemi testati sono stati violati: questo suggerisce che i problemi non si possono addebitare a una singola applicazione mal progettata o a un errore sporadico di configurazione, ma che esiste una fragilità strutturale nella gestione della sicurezza delle informazioni. In particolare, quanto emerso rivela processi di sviluppo in cui i controlli di sicurezza sono assenti o marginali, che non attuano il concetto di security by design, caratterizzati da una tutela insufficiente dell’identity management e, soprattutto, da una sottovalutazione cronica del rischio e del valore dei dati custoditi.
Il secondo dato importante è che gli errori emersi sono in larga parte basilari: credenziali non cifrate, controlli insufficienti sui parametri delle query, mancanza di meccanismi per rilevare e bloccare richieste anomale, account di ex dipendenti non disattivati. Tutti elementi che dovrebbero essere scontati in qualsiasi amministrazione pubblica che tratta dati di milioni di cittadini, e che invece continuano a rappresentare il tallone d’Achille della digitalizzazione pubblica in molti Paesi.
Spostando l’attenzione sull’Europa, cambia il contesto normativo, ma lo stato dell’arte non appare molto diverso sul piano del rischio sistemico. Il report di ENISA dedicato al settore public administration, che analizza gli incidenti tra gennaio e dicembre 2024, mostra come le amministrazioni pubbliche UE siano bersaglio costante di attacchi di diversa natura: DDoS, ransomware, data breach, data leak e campagne di cyber spionaggio a sfondo geopolitico. Secondo ENISA, gli incidenti legati ai dati (violazioni e fughe) rappresentano una quota significativa, con un picco nell’ultimo trimestre del 2024 che concentra oltre il 40 per cento degli eventi data‑related registrati. Ransomware e modelli RaaS continuano a colpire le PA europee, con un numero relativamente contenuto di casi ma un impatto operativo rilevante quando il bersaglio è un sistema centrale o un’infrastruttura regionale essenziale.
Non mancano esempi concreti di quanto un singolo sistema pubblico possa trasformarsi in rischio sistemico. Basti pensare all’attacco cyber alla Regione Lazio del 2021 citato anche in documenti della Commissione europea e nei commenti successivi del Garante privacy come caso emblematico di come un ransomware possa rallentare l’emissione di documenti fondamentali e incidere sui servizi sanitari. Nel panorama italiano più recente, l’adozione del Perimetro di Sicurezza Nazionale Cibernetica e l’introduzione di regolamenti più stringenti hanno alzato l’asticella per le infrastrutture considerate critiche, ma il tessuto di enti regionali, comunali, agenzie e società in-house continua a rappresentare una superficie d’attacco ampia e disomogenea. ENISA, nel suo threat landscape per la pubblica amministrazione, segnala diversi episodi di compromissione di sistemi governativi italiani nel 2024, insieme ad attacchi che hanno coinvolto portali di servizi per l’impiego in Spagna, piattaforme municipali nei Paesi Bassi e sistemi amministrativi in Romania.
L’elemento più interessante del caso coreano, se letto alla luce di questo scenario europeo, è l’attuazione proattiva dell’audit. Invece di attendere l’ennesimo attacco reale, il BAI ha orchestrato un penetration test massivo sui sistemi più sensibili, facendo lavorare fianco a fianco hacker etici e strutture di difesa nazionale. Più che un fallimento, in chiave cybersecurity il risultato è un successo: ha portato a chiudere le falle esistenti e ha inoltre dimostrato che attività di red teaming coordinate dallo Stato possono far emergere e risolvere problemi prima che vengano sfruttati in attacchi reali.