Cyber Security

Cyber
Security
Luigi Panico
Considerazioni generali sulla sicurezza informatica
Le reti ed i sistemi del cyberspace sono stati progettati e realizzati senza considerare gli aspetti della sicurezza e
dunque di natura le vulnerabilità sono insite e favoriscono l’azione di gruppi criminali.
In Italia, eccetto grandi banche e pochi grandi gruppi, la presa di coscienza della sicurezza dei dati è quasi del
tutto assente, persino a livello di management, sia pubblico che aziendale.
In talune aziende
ende le difese minime sono ridotte all’osso e ci si affida ad antivirus gratuiti, sebbene quelli più
efficaci e completi, ma a pagamento, costino solo poche decine di euro l’anno. Spesso queste aziende e
professionisti cadono nell’errore d’aver risolto tutti
tutti i problemi della tutela della privacy e della protezione dei
dati con strumenti che non sono sufficienti neanche per una internauta casalinga.
La crittografia e le politiche di accessi multifattoriali sono sconosciute ai più e persino una password
moderatamente complessa può essere fonte di disagio, al punto da cedere facilmente alla tentazione di adottarne
una elementare, di sei caratteri al massimo, magari il nome della figlioletta e del proprio animale domestico.
L’errore più frequente che un utente compie è quello di utilizzare la stessa password, complessa o elementare,
per tutti i login di cui necessita (accesso al computer, al conto online, a Facebook, a Linkedin, ai vari siti per
acquisti online, ecc….)
I backup si fanno quando capita, con il contagocce
contagocce ed ho sentito di utenti che vi rinunciano perché ci vuole
troppo tempo e alcune persone non ne hanno abbastanza. Avere un backup vecchio sei mesi è in sostanza come
non averlo. Finché si tratta di una utenza casalinga passi, ma quando si tratta di un commercialista, di un
avvocato o di una piccola azienda allora l’unica parola che viene in mente è incoscienza.
La maggior parte degli utenti non possiede una immagine aggiornata del proprio computer da ripristinare in casi
di emergenza (crash del sistema,
ema, rottura del disco rigido, attacco ransomware, ecc…).
Pochi hanno dimestichezza con il MBTF (Medium Time Before Failure) di un hardware, cioè la vita media di
un dispositivo prima che scada il suo tempo e, rompendosi, smetta di funzionare. Si va avanti
avant fino a che un bel
giorno vediamo apparire la scritta “disk failure”.
Le vulnerabilità vengono usate da gruppi criminali per estorcere denaro, sottrarre dati, causare interruzioni di
servizio, distruggere informazioni. Il crimine informatico aumenta costantemente
costantemente attraverso attacchi di tipo
Zero-Day,
Day, Botnet, Malware, Phishing per estorcere, frodare, rubare le identità, i dati, le informazioni, per spiare,
sabotare, o semplicemente per compiere atti vandalici emulativi.
Uno dei più frequenti e subdoli è quello
quello del Ransomware con le varianti CryptoLocker, CryptoWall, Crypty
(Windows), KeRanger (Mac), che causa, se non si paga un riscatto, la indisponibilità dei dati e la loro
distruzione. Basti pensare ai dati che contengono i computer di commercialisti, medici,
medici, avvocati, ricercatori,
ingegneri, giudici, trasportatori, aziende sanitarie, di qualunque azienda, piccola o grande che sia.
Vittime del crimine cibernetico sono potenzialmente tutti coloro che si connettono alla rete internet, ma in
particolare le Istituzioni Pubbliche, le imprese, i professionisti.
Per essi la perdita delle informazioni e dei dati può avere conseguenze penali ed economiche non indifferenti e
tuttavia si pensa che siano una improbabile evenienza, che magari potrà accadere solo ad altri.
E’ previsto che nel 2020 le perdite economiche mondiali per attacchi cyber arriveranno ai 3.000 miliardi di
dollari, cui anche l’Italia contribuirà sostanziosamente essendo già ora il primo bersaglio in Europa per gli
attacchi ransomware.
Cosa fare per contrastare il diffuso e crescente fenomeno del cyber crime?
In primo luogo sarebbe compito dello Stato innalzare le difese delle infrastrutture critiche nazionali, delle
organizzazioni governative, delle aziende e dei singoli cittadini. Poi gli utenti dovrebbero prendere coscienza del
problema e mettere in atto delle decenti strategie difensive idonee a fronteggiare le minacce o quantomeno a
minimizzarle, renderle ininfluenti, mitigarle.
Il risultato che si può ottenere, con dei semplici accorgimenti, è inimmaginabile e non servono grandi
investimenti o mezzi speciali in uso nei dipartimenti della sicurezza nazionale..
Basta usare qualche modesto strumento, essere informati e acquisire quella cultura, detta anche “Security
Posture”, e quegli automatismi mentali che permettono, in gergo automobilistico, di guidare un’auto senza
scossoni, brusche frenate, incidenti. È fondamentale avere coscienza di ciò che si sta facendo e accorgersi in
tempo se c’è qualcosa che non va nella risposta del computer.
Infine, come in tutte le cose di questo mondo, basta un po’ di buon senso.
L’approvazione in sede UE del GDPR del 14 Aprile 2016 è stato il primo passo concreto verso una
armonizzazione delle regole in sede di tutela dati e sicurezza informatica.
Ci sono due anni per arrivare alla “conformità” e con l’uso di strumenti crittografici ci sono sostanziose
mitigazioni delle sanzioni.
In genere quando si parla di difesa dei dati si pensa immediatamente ad hacker e criminali informatici. E cosa
dire di una rottura di un disco? Oppure di un furto con scasso e prelievo del computer di un professionista,
mettiamo un avvocato? E di un dipendente infedele che passa informazioni alla concorrenza? O di un
dipendente che si scoccia se gli si dice che deve fare dei backup alternati?
La minaccia informatica esiste, ma è solo una quota parte delle vere e reali minacce cui chiunque accenda un
computer è soggetto quotidianamente. L’unico vero computer sicuro è quello che avete pensato di comperare
nel futuro e che ancora non possedete.
Dunque i computer sono degli ottimi strumenti, inevitabili in una società tecnologica, ma che hanno bisogno di
essere utilizzati con piena consapevolezza e competenza.
Il ritorno alla sola carta e penna è semplicemente pura illusione nostalgica, anche perché l’umanità, una volta
scoperto che la ruota era utile, non l’ha messa da parte, ma ne ha sfruttato tutte le applicazioni.
Però non sarebbe male se ogni tanto si prendesse una bella penna con inchiostro scorrevole e ci si mettesse a
scrivere, come si faceva una volta. È un mondo diverso, ma altrettanto interessante e piacevole.
Luigi Panico è amministratore di ASPE Srl che fornisce strumenti di protezione dati con criptomoduli hardware di livello militare, ex collaboratore di Dicon Technologies. Attuali collaborazioni
con Radiocomm Srl e Hiddn AS. [email protected]