Cyber Security
Transcript
Cyber Security
Cyber Security Luigi Panico Considerazioni generali sulla sicurezza informatica Le reti ed i sistemi del cyberspace sono stati progettati e realizzati senza considerare gli aspetti della sicurezza e dunque di natura le vulnerabilità sono insite e favoriscono l’azione di gruppi criminali. In Italia, eccetto grandi banche e pochi grandi gruppi, la presa di coscienza della sicurezza dei dati è quasi del tutto assente, persino a livello di management, sia pubblico che aziendale. In talune aziende ende le difese minime sono ridotte all’osso e ci si affida ad antivirus gratuiti, sebbene quelli più efficaci e completi, ma a pagamento, costino solo poche decine di euro l’anno. Spesso queste aziende e professionisti cadono nell’errore d’aver risolto tutti tutti i problemi della tutela della privacy e della protezione dei dati con strumenti che non sono sufficienti neanche per una internauta casalinga. La crittografia e le politiche di accessi multifattoriali sono sconosciute ai più e persino una password moderatamente complessa può essere fonte di disagio, al punto da cedere facilmente alla tentazione di adottarne una elementare, di sei caratteri al massimo, magari il nome della figlioletta e del proprio animale domestico. L’errore più frequente che un utente compie è quello di utilizzare la stessa password, complessa o elementare, per tutti i login di cui necessita (accesso al computer, al conto online, a Facebook, a Linkedin, ai vari siti per acquisti online, ecc….) I backup si fanno quando capita, con il contagocce contagocce ed ho sentito di utenti che vi rinunciano perché ci vuole troppo tempo e alcune persone non ne hanno abbastanza. Avere un backup vecchio sei mesi è in sostanza come non averlo. Finché si tratta di una utenza casalinga passi, ma quando si tratta di un commercialista, di un avvocato o di una piccola azienda allora l’unica parola che viene in mente è incoscienza. La maggior parte degli utenti non possiede una immagine aggiornata del proprio computer da ripristinare in casi di emergenza (crash del sistema, ema, rottura del disco rigido, attacco ransomware, ecc…). Pochi hanno dimestichezza con il MBTF (Medium Time Before Failure) di un hardware, cioè la vita media di un dispositivo prima che scada il suo tempo e, rompendosi, smetta di funzionare. Si va avanti avant fino a che un bel giorno vediamo apparire la scritta “disk failure”. Le vulnerabilità vengono usate da gruppi criminali per estorcere denaro, sottrarre dati, causare interruzioni di servizio, distruggere informazioni. Il crimine informatico aumenta costantemente costantemente attraverso attacchi di tipo Zero-Day, Day, Botnet, Malware, Phishing per estorcere, frodare, rubare le identità, i dati, le informazioni, per spiare, sabotare, o semplicemente per compiere atti vandalici emulativi. Uno dei più frequenti e subdoli è quello quello del Ransomware con le varianti CryptoLocker, CryptoWall, Crypty (Windows), KeRanger (Mac), che causa, se non si paga un riscatto, la indisponibilità dei dati e la loro distruzione. Basti pensare ai dati che contengono i computer di commercialisti, medici, medici, avvocati, ricercatori, ingegneri, giudici, trasportatori, aziende sanitarie, di qualunque azienda, piccola o grande che sia. Vittime del crimine cibernetico sono potenzialmente tutti coloro che si connettono alla rete internet, ma in particolare le Istituzioni Pubbliche, le imprese, i professionisti. Per essi la perdita delle informazioni e dei dati può avere conseguenze penali ed economiche non indifferenti e tuttavia si pensa che siano una improbabile evenienza, che magari potrà accadere solo ad altri. E’ previsto che nel 2020 le perdite economiche mondiali per attacchi cyber arriveranno ai 3.000 miliardi di dollari, cui anche l’Italia contribuirà sostanziosamente essendo già ora il primo bersaglio in Europa per gli attacchi ransomware. Cosa fare per contrastare il diffuso e crescente fenomeno del cyber crime? In primo luogo sarebbe compito dello Stato innalzare le difese delle infrastrutture critiche nazionali, delle organizzazioni governative, delle aziende e dei singoli cittadini. Poi gli utenti dovrebbero prendere coscienza del problema e mettere in atto delle decenti strategie difensive idonee a fronteggiare le minacce o quantomeno a minimizzarle, renderle ininfluenti, mitigarle. Il risultato che si può ottenere, con dei semplici accorgimenti, è inimmaginabile e non servono grandi investimenti o mezzi speciali in uso nei dipartimenti della sicurezza nazionale.. Basta usare qualche modesto strumento, essere informati e acquisire quella cultura, detta anche “Security Posture”, e quegli automatismi mentali che permettono, in gergo automobilistico, di guidare un’auto senza scossoni, brusche frenate, incidenti. È fondamentale avere coscienza di ciò che si sta facendo e accorgersi in tempo se c’è qualcosa che non va nella risposta del computer. Infine, come in tutte le cose di questo mondo, basta un po’ di buon senso. L’approvazione in sede UE del GDPR del 14 Aprile 2016 è stato il primo passo concreto verso una armonizzazione delle regole in sede di tutela dati e sicurezza informatica. Ci sono due anni per arrivare alla “conformità” e con l’uso di strumenti crittografici ci sono sostanziose mitigazioni delle sanzioni. In genere quando si parla di difesa dei dati si pensa immediatamente ad hacker e criminali informatici. E cosa dire di una rottura di un disco? Oppure di un furto con scasso e prelievo del computer di un professionista, mettiamo un avvocato? E di un dipendente infedele che passa informazioni alla concorrenza? O di un dipendente che si scoccia se gli si dice che deve fare dei backup alternati? La minaccia informatica esiste, ma è solo una quota parte delle vere e reali minacce cui chiunque accenda un computer è soggetto quotidianamente. L’unico vero computer sicuro è quello che avete pensato di comperare nel futuro e che ancora non possedete. Dunque i computer sono degli ottimi strumenti, inevitabili in una società tecnologica, ma che hanno bisogno di essere utilizzati con piena consapevolezza e competenza. Il ritorno alla sola carta e penna è semplicemente pura illusione nostalgica, anche perché l’umanità, una volta scoperto che la ruota era utile, non l’ha messa da parte, ma ne ha sfruttato tutte le applicazioni. Però non sarebbe male se ogni tanto si prendesse una bella penna con inchiostro scorrevole e ci si mettesse a scrivere, come si faceva una volta. È un mondo diverso, ma altrettanto interessante e piacevole. Luigi Panico è amministratore di ASPE Srl che fornisce strumenti di protezione dati con criptomoduli hardware di livello militare, ex collaboratore di Dicon Technologies. Attuali collaborazioni con Radiocomm Srl e Hiddn AS. [email protected]