LA SICUREZZA NELLE INFRASTRUTTURE DI RETE GENERALITA

LA SICUREZZA NELLE INFRASTRUTTURE DI RETE
GENERALITA’
La sicurezza delle reti in uso è un patrimonio fondamentale per abilitare il business di qualsiasi
azienda. Non solo per le informazioni che vengono gestite, ma anche per i servizi per i quali sono
configurati. Pianificare, poi, la Sicurezza e la Conformità è l’unico strumento per ridurre il rischio in
caso di attacco.
L'enorme diffusione di applicazioni mobili, l'adozione da parte delle aziende del BYOD (bring your
own device), il consolidamento e la migrazione verso ambienti virtualizzati, e il perimetro di una
rete privata che ormai non ha più una sua precisa connotazione, sono fattori scatenanti che il
cybercrime conosce molto bene.
Ormai gli attachi malware di qualche anno fa sono solo dei ricordi sbiaditi in termini di obiettivi e
di expertise. Il cybercrime inizia a conoscere per tempo il suo target, sapendo bene come agire e
quali informazioni portare fuori della rete aziendale oggetto dell’attacco.
Le tecnologie vincenti di questo cybercrime sono gli attacchi di tipo Advanced Persistent Threats
(APT ) che usano tecnologie in grado di adattarsi alle esigenze dei nuovi vettori di attacco,
rendendo ormai inutili i classici metodi di rilevamento del malware.
Le minacce sempre più evolute, la rapida adozione dei social media e la diffusione di applicazioni
web richiedono un nuovo approccio intelligente alla sicurezza. Per aiutare le aziende a proteggersi
proattivamente dalle minacce in continua evoluzione, incluse quelle poste dai social media e dai
siti web maligni, un certo numero di aziende propone oggi una classe di applicazioni per la
sicurezza della rete, che fornisce una vista più granulare del livello di sicurezza dell’azienda e
un’interfaccia di gestione semplificata. Queste soluzioni per la prevenzione delle intrusioni,
aiutano le aziende ad affrontare gli attacchi più evoluti, fornendo visibilità precisa delle
applicazioni utilizzate sulla rete, della navigazione degli utenti sul web, con inoltre la possibilità di
monitorare e controllare queste attività, con conseguente miglioramento della sicurezza e
riduzione dei costi operativi.
LE AGGRESSIONI ALLA RETE: COSA STA SUCCEDENDO ?
Gli attacchi di carattere avanzato:
Le minacce alla sicurezza che ci troviamo ad affrontare sono sempre più dannose. Gli attacchi di
massa non sono, in realtà, più all'ordine del giorno. Lo sono invece attacchi mirati, che utilizzano
una gamma complessa di tecniche, che sono sofisticati nella loro capacità di sconfiggere le difese
di sicurezza reattive e possono costare davvero cari alle loro vittime.
Le difese tradizionali , reattive, che puntano sulla protezione contro attacchi di tipo noto non sono
più all'altezza di tali minacce. Le aziende piuttosto devono adottare un approccio proattivo e
preventivo per proteggere le proprie applicazioni e le informazioni sensibili che queste
contengono, nonché per garantire che le proprie reti siano blindate e in uno stato di sicurezza
estremo che impedisca il nascere di possibili vulnerabilità sfruttabili dall’attacco.
Per stare al passo con i criminali informatici è quindi necessario un nuovo approccio alla sicurezza
con un'infrastrutture di “engine” per un tipo di rilevamento di nuova generazione specializzato
appunto negli attacchi APT.
Questi sistemi di rilevamento assegnano le priorità e presentano solo quegli eventi che richiedono
di essere esaminati, riducendo il tempo di analisi a pochi minuti. Operando con questi sistemi i
responsabili informatici possono proteggere l’azienda contro quello che rappresenta il problema
di sicurezza odierno più letale: i cosiddetti “ attacchi mirati persistenti”
Le piccole e medie aziende sono indenni da questi rischi ?
No, agli hacker non importa quale sia la dimensione del business . Si preoccupano solo di poter
superare le difese e impossessarsi di valori.
Da notarsi che le piccole imprese tendono ad avere più soldi in banca e meno difese informatiche
delle grandi aziende.
E questi hacker non sono più limitati a fanatici del computer altamente qualificati. Usano infatti
dei toolkit di attacco facilmente disponibili anche in rete. Quindi anche un principiante puo’
infettare i computer e di estrarre tutte le informazioni di cui hanno bisogno per rubare login di
conti bancari .
IL MALWARE
Nel 2013 i vettori e i metodi utilizzati dai cyber-criminali sono caratteristicamente diversi dai
malware utilizzati qualche anno fa.
Infatti, un elemento, da cui il malware moderno è 100% dipendente, è la rete informatica.
Il nostro universo ipV4 ed ipV6, così come lo conosciamo oggi, e quello che stiamo costruendo per
il futuro, saranno sempre più utilizzati per estendere i diversi vettori funzionali di un attacco
malware moderno. E il fattore fondamentale di protezione, in questo caso, è il “tempo di
identificazione”.
Tra l’altro, se meditassimo sul ciclo di vita di un malware moderno, dalla nascita alla prima
identificazione, ci accorgeremmo oggi della elevatissima complessità meccanica e logistica per
arrivare ad avere copertura contro il malvare in tempi brevi.
Infatti, poichè gli attacchi sono mirati e hanno uno scopo ben preciso, il delta di tempo della
creazione e del primo utilizzo di un malware fino alla sua scoperta si allunga in maniera quasi
esponenziale, e quindi i metodi tradizionali di identificazione sono praticamente inutili.
In più, considerando la sintonia di molteplici vettori, una soluzione moderna deve offrire
protezioni per tutti vettori verso tutte le tipologie di rete. E deve offrire protezioni attraverso tutta
l’ampia gamma di applicazioni disponibili nell’ambiente Enterprise e Cloud e non soltanto Web ed
E-Mail.
Una soluzione deve non soltanto essere in grado di identificare ed analizzare, ad esempio, allegati
sospetti, ma deve anche in tempo reale scatenare il processo di reverse engineering,
classificazione, signature-delivery per tutti i vettori applicabili attraverso qualsiasi applicazione e
protocollo di trasporto anche se cifrato; e in tempo reale.
I SOCIAL NETWORKS E LA SICUREZZA
I dipendenti di un’azienda utilizzano tutti i social network e così fanno i criminali informatici. La
natura virale di questi servizi di social networking fa sì che i giusti messaggi di attacco possano
essere diffusi con poca spesa.
Inoltre, gli utenti finali hanno un falso senso di sicurezza sui social network, che li rende suscettibili
a trucchi di social engineering.
SICUREZZA E BYOD
Se questo non bastasse, i criminali informatici si stanno preparando per andare sugli smartphone.
Molte aziende hanno dipendenti che utilizzano smartphone e tablet per accedere ai dati aziendali,
ma non hanno ancora attuato politiche di sicurezza per questi dispositivi.
Con un aumento senza precedenti della mobility i dispositivi portatili quali notebook, ultrabook,
tablet e smartphone si stanno diffondendo sempre di più. Gli utenti si aspettano di poter accedere
ai servizi IT da un numero sempre maggiore di endpoint, inclusi i dispositivi personali. Di
conseguenza, si moltiplica il numero dei diversi sistemi operativi presenti nella rete e si vengono a
creare sfide importanti per l'identificazione e la gestione dei dispositivi da parte dell’IT. La
connessione da qualsiasi luogo su qualunque dispositivo comporta rischi considerevoli per la
sicurezza, i dati aziendali, la proprietà intellettuale e l'adempienza alle normative.
Il più grave rischio attuale è che gli utenti potranno scaricare applicazioni contenenti codici
maligni, dando agli hacker l'accesso alle informazioni degli utenti o persino controllare il
dispositivo.
Poiché i dispositivi mobili sono sempre più critici per il business nei prossimi anni, ci aspettiamo un
forte aumento di software distruttivo sviluppato appositamente per questi dispositivi. Gli hacker
stanno già prendendo atto di questa opportunità di sfruttare un nuovo mercato: il numero delle
vulnerabilità segnalate per i dispositivi mobili è aumentato del 42 per cento nel 2012.
RESPONSABILITA’ PENALE RELATIVA ALLE MISURE PER LA SICUREZZA INFORMATICA
Il concetto di misure minime di sicurezza è definito dal Codice sulla protezione dei dati personali.
Le misure di sicurezza sono costituite dal complesso delle misure organizzative, tecniche,
informatiche, logistiche e procedurali volte a ridurre al minimo i rischi di




distruzione o perdita, anche accidentale, dei dati,
accesso non autorizzato;
trattamento non consentito o non conforme alle finalità della raccolta,
modifica dei dati in conseguenza di interventi non autorizzati o non conformi alla regole.
Un'importante misura minima di sicurezza prevista era l'obbligo di adozione annuale da parte dei
titolari di un documento programmatico sulla sicurezza: la stesura annuale del DPS è stata abrogata
dall'art. 45 del decreto semplificazioni (convertito in legge il 4 aprile 2012).
SOGGETTI OBBLIGATI ALL’ADOZIONE DELLE MISURE
Tutti i titolari di trattamento dati sono tenuti ad adottare misure minime individuate dal Codice e
secondo le modalità previste nel Disciplinare tecnico allegato al Codice. Va sottolineato come
l'articolo 31 del Codice non fa differenza tra violazione della riservatezza dei dati personali
propriamente detta - quale si avrebbe ad esempio nel caso di accesso a dati sensibili da parte di terzi
non autorizzati - e distruzione o perdita accidentale di dati già legittimamente raccolti e trattati. La
mancata custodia dei dati è comunque causa di un danno, e il responsabile di questo danno è
sanzionato. Infatti dal solo danno della distruzione o perdita dei dati derivano varie gravi
conseguenze: ad esempio il blocco delle attività, costi gestionali imprevisti, danno di immagine.
Inoltre poiché il privato deve poter fare affidamento sui dati che ha già comunicato, ne consegue
che in caso di negligente custodia egli può richiedere il risarcimento del danno. Per questi motivi il
soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente (se le misure non
rispettano i parametri previsti dal regolamento sulle misure minime secondo le modalità previste dal
Disciplinare Tecnico) e può essere chiamato a rispondere civilmente per il risarcimento del danno
(se le misure non sono idonee).
Ai sensi dell’art 31 del Codice, le misure di sicurezza adottate per il trattamento dei dati personali
devono essere:


adeguate in relazione alle conoscenze acquisite in base al progresso tecnico e tali da ridurre
al minimo i rischi di distruzione dei dati o accesso non autorizzato;
adottate in via preventiva e differenziate in base alla natura dei dati e alle specifiche
caratteristiche del trattamento.
DIFFERENZA TRA MISURE MINIME E MISURE IDONEE
Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilità, ma
non solo. Il titolare deve individuare preventivamente misure di sicurezza che devono almeno
rispettare i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36) e nel
Disciplinare Tecnico (Allegato B del Codice Privacy); se le misure di sicurezza adottate non
rispettano i parametri minimi contenuti nel regolamento, si concretizza la fattispecie penale di
omissione delle misure minime e la conseguente responsabilità. L'individuazione di misure che
rispettano i parametri previsti come minimi non è sufficiente a liberare da ogni responsabilità il
soggetto che effettua il trattamento. Se le misure adottate non sono idonee ad evitare il danno, il
Titolare può essere coinvolto comunque sotto un profilo di responsabilità civile, anche se non ci
sono gli estremi per la responsabilità penale prevista dalla legge. Le misure minime di sicurezza
sono tipizzate dal legislatore. Quelle idonee no. Devono essere scelte dal buon Titolare sulla base
della natura dei dati, delle caratteristiche del trattamento e dallo stato dell'arte e della tecnica.
Conseguenze sanzionatorie
Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti:


la sanzione penale per omessa adozione delle misure minime è quella prevista dall'articolo
169 del Codice (arresto sino a due anni);
il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno è previsto dall'art. 15 legge del Codice che rimanda all’art. 2050 del Codice Civile (relativa
allo svolgimento di attività pericolose); in questo tipo di responsabilità è prevista una
presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua
il trattamento): il responsabile ha l’onere della prova di aver adottato tutte quanto era
possibile per evitare il danno, facendo riferimento ad adeguate prassi tecniche conosciute di
sicurezza informatica, mentre il danneggiato deve solo dimostrare l'esistenza del danno.
DISASTER RECOVERY: QUAL E’ L’AFFIDABILITA’ DELLE RETI TERRESTRI IN CASO DI DISASTRI ?
Le applicazioni IT attuali sono sempre più da usare in rete: i collegamenti a sedi remote, le
soluzioni gestionali accentrate o usufruibili on-line, la posta elettronica, le operazioni bancarie, le
prenotazioni, le applicazioni CLOUD, e così via. Sempre più le attività aziendali sono legate alla
Rete. Ma l’attuale ecosistema Internet non è più sostenibile. Le reti sono attraversate da un traffico
dati sempre più pesante, per lo più generato da applicazioni e servizi Over-the-top. E’ cambiato tra
l’altro il paradigma dell’utilizzo di Internet: si è passati da un sistema imperniato sulla trasmissione
di testi ad un sistema con una forte componente di consumo di video, circostanza che ha causato
un’impennata nel traffico di file audiovisivi e nel numero di utenti “pesanti”.
E questa mole crescente di traffico mette sotto pressione le reti, rendendo necessari nuovi
investimenti in infrastrutture. Ma questi investimenti tardano a venire, e quindi la quasi totalità della
Rete, non solo in Italia, è gestita con qualità “Best Effort”. Ossia ciascun operatore, a meno di
rarissimi casi, non garantisce assolutamente contro le cadute di rete: quando esse accadono il cliente
non ha diritto di lamentarsi. E anche quegli operatori che contrattualizzano con il loro servizio il
cosiddetto SLA (Service Level Agreement), garantiscono solo che una somma, indipendente dal
danno subito, verrà pagata al cliente a titolo di risarcimento in caso di cadute della rete. Ma il danno
subito può essere enorme; e non valutabile a priori. Anche perché il controllo della rete è
frammentato spesso tra diversi operatori; il che, talvolta, rende complessa la diagnosi e
sistemazione del guasto. E queste complessità, in futuro, aumenteranno
La nostra adsl, hdsl, shdsl, linea dedicata quante volte è caduta? Quanto abbiamo dovuto aspettare
per il ripristino, quanto tempo siamo rimasti isolati? Possiamo permetterci di restare isolati per
qualche ora ? Per qualche giorno ? Quali sono i tempi di risoluzione dei problemi di centrale o di
linea, di sede, di palazzo, di quartiere ? Certamente più lunghi di quelli che la nostra attività
aziendale ci puo' permettere.
D’altronde ridondare linee terrestri con altre linee terrestri, è una soluzione inefficiente in caso di
alcuni disastri, come terremoti e alluvioni: anche se i percorsi sono differenziati è molto probabile
che un terremoto o una inondazione possa mettere fuori uso tutte le centrali della zona; di qualsiasi
operatore esse siano. Qualunque siano le reti, infatti, anche quelle wireless, si affidano
pesantemente a strutture terrestri che, in caso di disastri sul territorio vengono, tutte , ad essere
impattate contemporaneamente.
BACKUP E DISASTER RECOVERY: DA NECESSITÀ A OBBLIGO DI LEGGE
L’era digitale è l’era dei dati. Questi nuovi protagonisti sono spesso custodi di importanti
informazioni che rivestono per una qualsiasi azienda un’importanza spesso vitale.
Al rischio di perdere o vedersi danneggiati i sistemi fisici preposti alla memorizzazione, si
aggiungono i rischi relativi alla perdita di connettività, e lo scenario che allora si prospetterebbe
potrebbe essere più o meno drammatico a seconda nel danno.
Per evitare queste spiacevoli quanto probabili circostanze è bene non solo effettuare sempre un
back-up dei dati con una certa periodicità, ma anche assicurarsi che la connettività sia
sufficientemente ridondata e testata periodicamente.
L’aspetto che però può sfuggire alle aziende italiane sono gli obblighi di legge imposti a chiunque
abbia dati in forma digitale da gestire. In particolare le prescrizioni riguardano i dati personali e
sensibili, entrambi molto frequenti e diffusi. L’art 31 del D.lgs 196/2003 dice infatti:
“I dati personali oggetto del trattamento devono essere custoditi e controllati […] in modo da
ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale…”
Ma i chiari riferimenti all’adozione di misure specifiche per la memorizzazione preventiva (backup) dei dati non si concludono in questa norma di carattere generale. Infatti l’art. 34 comma 1-f
del codice autorizza il trattamento con strumenti elettronici solo se sono previste una serie di
misure minime di sicurezza tra cui l’adozione di procedure per la custodia di copie di sicurezza, il
ripristino di disponibilità dei dati e dei sistemi.
E poi, al semplice back-up si aggiungono prescrizioni anche sul disaster recovery, con riferimento per i dettagli tecnici - all’Allegato B al codice. L’art. 18 del documento impone che il salvataggio
abbia almeno frequenza settimanale e l’art. 23 obbliga ad adottare misure di ripristino idonee a
rendere i dati nuovamente accessibili nell’arco massimo di sette giorni dal disastro.
Tutti i provvedimenti presi dall’azienda devono inoltre essere riportati, secondo l’art.19, nel
documento programmatico sulla sicurezza.
E’ bene quindi ricordare che le misure richieste sono soprattutto improntate alla tutela dei diritti di
privacy, ma per quanto detto è evidente che tali misure coinvolgono molti degli aspetti operativi
della maggior parte delle aziende; e sono strettamente legati alla connettività.
E’ logico infatti pensare che, qualora infatti il back-up periodico, non possa aver luogo, per motivi
di connettività dovuti al disastro (ad esempio in presenza di database remoti), l’azienda si
troverebbe con le proprie informazioni non allineate.
Per quanto detto risulta ovvio dire che è importantissimo per le aziende, anche dal punto di vista
giuridico, premunirsi contro il rischio di perdita dati in caso di disastri. E, per far ciò, non basta
badare ai sistemi di memorizzazione; ma è d’obbligo ridondare la connettività.
RIDONDANZA SATELLITARE PER LA CONTINUITA’ OPERATIVA (BUSINESS
CONTINUITY) E PER IL BACK-UP
Per Business Continuity si intende la capacità di un’azienda di continuare a esercitare la propria
operatività in caso di indisponibilità, per periodi anche lunghi, di siti web, informatica mobile,
persone, documenti, importanti fornitori, outsourcer, servizi di pubblica utilità, connessioni di rete.
La business continuity si occupa del ripristino dei processi aziendali essenziali, in caso di eventi di
estrema portata, ovvero di quegli eventi disastrosi che hanno una probabilità molto bassa, o quasi
nulla, di accadere, ma le cui conseguenze possono essere estremamente gravose per il business.
La pianificazione della continuità operativa e di servizio deve essere definita nel Business
Continuity Plan (BCP), che, per quanto detto sopra, ogni azienda dovrebbe avere; e per talune
aziende è obbligatorio. In esso vengono identificati i pericoli potenziali che minacciano
l’organizzazione; viene fornita una struttura che consente di aumentare la capacità di adattamento
alle condizioni d'uso e la capacità di risposta; in maniera da salvaguardare gli interessi delle parti in
causa, le attività produttive, l’immagine, riducendo i rischi e le conseguenze sul piano gestionale,
amministrativo e legale.
La RIDONDANZA SATELLITARE (RS) è sicuramente uno dei temi che debbono essere
affrontati nel BCP, e , probabilmente, è l’unica in grado di garantire l’opportuna ridondanza di
connettività in caso di disastri . Infatti:
1. Tutte le reti posseggono una parte di accesso una la parte di back-haul distinte. Ed entrambe
devono essere ridondate. Il satellite le ridonda entrambe con un’unica soluzione,
immediata.
2. Il satellite funziona senza alimentazione terrestre; l’unica alimentazione da garantire è quella
del modem (a bassissimo consumo, e quindi alimentabile con una economicissima batteria
tampone)
3. La connettività satellitare è immediata e a basso costo, e può quindi essere tenuta
permanente in funzione.
4. Il satellite, per motivi fisici, è il sistema meno attaccabile e intercettabile da pirati o vandali
(motivo per cui è ampiamente usato dai sistemi dell’Esercito)
Come detto, le aziende debbono trattare con massima priorità i problemi di back-up e business
continuity, dotandosi di un collegamento di emergenza secondario. Ma questo collegamento di
emergenza deve essere completamente indipendente da quello primario; e quindi è opportuno (per i
motivi esposti sopra) che sia satellitare.
Achille De Tommaso
Settembre 2013