Il Centro nazionale per la cybersicurezza (NCSC) ha inviato una lettera raccomandata a 130 organizzazioni, tra cui pure diversi comuni, informandoli nuovamente delle vulnerabilità di un software di posta elettronica. Non è il primo avviso, ma finora queste organizzazioni non hanno risolto il problema.
La messa in guardia concerne in particolare MS Exchange Server, ha annunciato il NCSC via Twitter. Il software è utilizzato per gestire e-mail, appuntamenti, contatti. "Abbiamo ricevuto una soffiata da una certa fonte che ancora numerose aziende e comuni non hanno risolto questa vulnerabilità", ha detto oggi alla SRF Max Klaus, capo sostituto della sezione Cybersicurezza operativa.
Eppure questa lacuna nella sicurezza era nota in parte fin dall'inizio del 2021 e le organizzazioni erano già state informate più volte. Su Twitter, l'NCSC precisa: "Anche se le patch corrispondenti sono disponibili da mesi, non sono ancora state applicate". Le cosiddette patch (letteralmente pezze o toppe) sono porzioni di software progettate appositamente per aggiornare o migliorare un determinato programma, includendo la risoluzione di vulnerabilità di sicurezza e di altri bug generici.
Le 130 organizzazioni contattate per lettera raccomandata sono solo una piccola parte del totale messo in guardia. L'anno scorso, l'NCSC aveva informato più di 4'500 organizzazioni della vulnerabilità. La maggior parte delle aziende e dei comuni hanno installato l'aggiornamento di sicurezza nel corso dell'anno scorso. Solo il 3% circa non ha ancora risolto la falla.
ATS/ludoC
Sicurezza informatica: "c'è molto da fare"
"Troppo spesso gli attacchi vanno in porto", aveva dichiarato nei giorni scorsi il delegato federale della cybersicurezza, Florian Schütz. Intervistato dal Telegiornale della RSI, aveva affermato che "alcune ditte sono protette bene, altre meno. Purtroppo, però, "l'igiene informatica" viene spesso trascurata. Non si eseguono per tempo gli aggiornamenti di sicurezza, non si conosce la propria infrastruttura informatica. E se ne parla troppo poco a livello di consiglio di amministrazione o di direzione”.
Intervista al delegato federale della cybersicurezza
Telegiornale 07.02.2022, 21:00