TL;DR Durante una intervista in diretta TV sul tablet in uso in quel momento all’On. Gasparri ha mostrato, sulla scocca, la presenza di un adesivo con l’incontrovertibile parola “passw“…
Sta circolando in Rete questo screenshot relativo ad una intervista rilasciata in diretta TV su La7 qualche giorno fa dall’On. Gasparri in merito alla situazione politica italiana.
Un occhio attento avrà immediatamente individuato l’anomalia: sul tablet davanti al Senatore compare, in bella mostra e in diretta TV, un adesivo con l’incontrovertibile scritta “passw.”, seguita da scritte meno leggibili. E’ facile supporre che si tratti delle credenziali di accesso al dispositivo e, in questo caso, parliamo di uno strumento in uso a una figura Istituzionale. E’ ragionevole, quindi, supporre che i contenuti possano essere di natura strategica o, comunque, riservata, rendendo la confidenzialità delle credenziali di accesso un elemento critico per la sicurezza dei dati e del dispositivo stesso.
In ogni caso, anche se dovesse trattarsi di un dispositivo in uso alla postazione (come purtroppo se ne vedono in giro), la presenza delle credenziali di accesso in una posizione così visibile ed evidente è un errore da matita blu. A cui si aggiunge ovviamente la questione reputazionale rappresentata da un membro del Senato, il cui impatto mediatico è comunque importante, immortalato in un luogo istituzionale con un dispositivo le cui credenziali sono state rese visibili in diretta televisiva, a milioni di telespettatori.
Le credenziali di autenticazione, seppur “generiche” (e qui se ne potrebbe discutere a lungo, poiché ogni utente lascia comunque delle tracce, dalla cronologia del browser in poi, che andrebbero pulite ad ogni logout), sono un elemento da proteggere adeguatamente. Iniziando, ad esempio, dalla presenza di un registro dove annotare chi usa quel dispositivo e in quale momento (necessario, ad esempio, per risalire a eventuali responsabilità in caso di incidente informatico).
Sarebbe poi da abolire l’uso di credenziali generiche o “di servizio“, preferendo soluzioni di autenticazione centralizzata dove ogni utente regolarmente registrato può utilizzare i dispositivi a disposizione attraverso le sue proprie credenziali.
Chiaramente queste sono solamente le mie personalissime riflessioni in merito ad un episodio che non saprei se definire esilarante o sconcertante. Poiché il “siparietto” in diretta TV, da qualunque parte lo si guardi e pur non conoscendone i dettagli, credo abbia rappresentato l’ennesima occasione persa in tema di cybersecurity, dove è la “testa del pesce” a dare un pessimo esempio di come devono essere gestiti elementi delicati come le credenziali di autenticazione.