La fragilità non sta nel software, ma nel modo in cui lo si governa. Nella mancanza di processi strutturati per aggiornare, monitorare, verificare. Nella convinzione che la sicurezza sia una casella da spuntare, quando invece è un’attività continua.
La vulnerabilità zero-day di Microsoft SharePoint
Un attacco informatico che ha colpito al cuore istituzioni federali, enti statali, infrastrutture critiche e università.
Il punto d’ingresso? Una vulnerabilità zero-day nel software Microsoft SharePoint, installato sui server fisici di migliaia di organizzazioni in tutto il mondo. È bastata una falla non ancora conosciuta dallo stesso produttore per permettere a un attore sconosciuto di entrare, sottrarre chiavi di accesso e mantenere il controllo anche dopo gli aggiornamenti.
La violazione non riguarda la versione cloud, ma esclusivamente le installazioni “on-premise”, spesso utilizzate da chi ritiene più sicuro tenere tutto all’interno.
Il danno è già concreto. Alcuni portali pubblici sono stati alterati, documenti cancellati, identità digitali imitate.
Si tratta di un’operazione sofisticata, eseguita con precisione, senza rivendicazioni, ma con chiari segnali di lungo periodo.
L’FBI e CISA invitano a scollegare i server vulnerabili da internet. Microsoft ha rilasciato aggiornamenti solo per alcune versioni, mentre migliaia di sistemi restano potenzialmente esposti. Il vero rischio però non è solo tecnologico, ma organizzativo.
La fragilità non sta nel software, ma nel modo in cui lo si governa
La fragilità non sta nel software, ma nel modo in cui lo si governa. Nella mancanza di processi strutturati per aggiornare, monitorare, verificare. Nella convinzione che la sicurezza sia una casella da spuntare, quando invece è un’attività continua. Oggi non serve solo reagire: bisogna saper anticipare, prevedere scenari, testare difese, costruire consapevolezza diffusa.
La cybersecurity non è più un progetto, è una funzione continua
Serve un salto di mentalità. Questo attacco, silenzioso ma devastante, dice una cosa chiara: non basta più difendersi, serve prevedere. Serve monitorare, testare, aggiornare, simulare. La cybersecurity non è più un progetto, è una funzione continua. Strategica. Esistenziale. Il problema non è solo tecnico. È governance, formazione, responsabilità. Ed è tempo di trattarlo come tale.
