Che cosa è cambiato rispetto al passato? Perché da un po 'di tempo si parla di sicurezza informatica? Un po 'di anni fa esistevano le reti dove le informazioni e le elaborazioni erano centralizzate, l'accesso avveniva attraverso le postazioni stupide e le comunicazioni avvenivano tramite linee dedicate; ora invece siamo passati ad avere informazioni ed elaborazioni distribuite, accesso tramite postazioni distribuite “intelligenti” e comunicazioni su linee condivise. L'esplosione di internet, se da una parte ha reso più flessibile la comunicazione e l'accesso ai servizi, dall'altra ha aperto varchi verso il mondo esterno che può essere usato in modo fraudolento e criminoso.
Da questa necessità di approfondire l'argomento in questione e mettere al sicuro tutte le informazioni che circolano sulla rete quotidianamente.
Purtroppo, ancora oggi, si pensa che mettere dei dati al sicuro si limiti soltanto ad installazione semplice di un antivirus, affrontando così il problema in maniera non fornita. Da questo si evince che una delle "cause" scatenanti in "problemi di sicurezza" sia proprio la mancanza di cultura della sicurezza informatica.
Gli enti molto spesso non possono rendere conto dei rischi che possono generarsi in un sistema informativo non protetto; gli esperti del settore sanno benissimo che la sicurezza informatica è una cosa astratta e che nella realtà non esiste, ma comunque bisogna continuare nell'implementazione di sistemi protetti al fine di ridurre al minimo il rischio all'interno di un sistema informativo.
La sicurezza informatica non si limita nemmeno a nascondere e / o modifica il contenuto dei messaggi ma si occupa nello specifico di perseguire 3 obiettivi fondamentali:
a) La disponibilità dell'informazioni
b) L'integrità dell'informazioni
c) La riservatezza delle informazioni
- Rendere i dati disponibili significa renderli accessibili agli utenti nel momento in cui non viene richiesto l'accesso, nel momento in cui viene fornito i dati forniti per effettuare / elaborazione.
- Garantire l'integrità dell'applicazione significa proteggere i dati da alterazioni e / o cancellazioni fraudolente.
- Riservare le informazioni significa limitare l'accesso alle informazioni da solo alle persone autorizzate.
Approfondendo la problematica riguardante la non disponibilità delle informazioni eventualmente affermate che l'inaccessibilità delle informazioni potrebbe avvenire in caso di
a) Disastri naturali (incendio, allagamenti, ecc.ecc.)
b) Guasti hardware e / o software, black-out, ecc.
c) Attacchi esterni attraverso Internet (Denial of service)
Potrebbero limitare il rischio alcuni strumenti quali:
a) Sistemi di backup
b) Ridondanza nell'hardware e negli archivi
c) Firewall collegato
d) UPS
e) Controllo dell'accesso fisico alle informazioni
Per quanto riguarda l’integrità delle informazioni, questa viene meno quando vengono alterati i dati o quando vengono cancellati: un esempio banale è quando in un database si perde la coerenza in una serie di tabelle relazionate.
La riservatezza, infine, consiste nel fornire l’accesso solo agli utenti autorizzati, le password utilizzate per l’operazione di log-in dovrebbero essere complesse: non banali da indovinare (nome del cane, della nonna, data di nascita); non parole presenti nel dizionario (potrebbero essere trovate utilizzando un attacco del tipo brute force con un dizionario italiano), non soltanto sequenze di numeri. Le password dovrebbero essere alfanumeriche, composte da minimo 8-10 caratteri, con caratteri maiuscoli, minuscoli, numeri e caratteri speciali come la virgola, la parentesi o altro. La password dovrebbe essere tenuta segreta e non scritta sotto la tastiera e/o vicino al monitor. L’informazione non dovrebbe essere data nemmeno ai tecnici della manutenzione se non opportunamente nominati dall’azienda.
Dopo aver analizzato sinteticamente i 3 obiettivi della sicurezza informatica, trattiamo la gestione del rischio introducendo termini quali:
a) Beni da proteggere
b) Obiettivi di sicurezza
c) Minacce alla sicurezza
d) Vulnerabilità del sistema
e) Impatto causato dall’attuazione della minaccia
I beni da proteggere, mentre nella vita quotidiana sono qualsiasi cosa materiale e/o immateriale che abbia un valore e che quindi deve essere protetto, nel mondo ICT sono gli utenti, le informazioni, le risorse informatiche e l’immagine dell’ente e/o azienda. Vi è anche una seconda suddivisione da fare:
1) Beni primari (password, files importanti, documentazione)
2) Beni secondari (attrezzature che permettono all’hardware di funzionare correttamente quali ad es. gli UPS)
Gli obiettivi di sicurezza invece, sono il grado di protezione che si intende predisporre per i beni in termini di: Disponibilità – Integrità – Riservatezza; naturalmente un bene come la password sicuramente avrà un grado di importanza nell’obiettivo di sicurezza più alto in termine di riservatezza che di disponibilità.
Le minacce di tipo naturali, umane e/o ambientali sono azioni che possono portare alla violazione di uno degli obiettivi di sicurezza; anch’esse possono essere suddivise rispetto ai tre obiettivi principali su indicati. Ad esempio, se i dati riservati di una persona vengono letti da personale non autorizzato si viola l’obiettivo della Riservatezza; se invece i dati rischiano di essere alterati e/o cancellati si viola l’obiettivo di Integrità; infine se il computer è completamente sotto il controllo di un malintenzionato stiamo parlando di Disponibilità, in quanto i dati potrebbero essere non accessibili nel momento in cui servono.
Bisogna dedicare particolare attenzione alla vulnerabilità del sistema trattando con particolare diligenza tutti quei punti deboli che provocano una perdita immediata di sicurezza e quindi una violazione degli obiettivi di sicurezza. Un ruolo importante in questo caso è rivestito dai continui aggiornamenti del sistema operativo tramite le patch di protezione rilasciate dai produttori e dagli aggiornamenti dei software Antivirus.
Si evita così l’impatto dell’attuazione di una minaccia, che potrebbe causare un blocco temporaneo delle attività dovuto da una serie di attività sistemistiche inerenti il ripristino del sistema informativo quali una disinfestazione completa, probabili reinstallazioni software, possibile ripristino dei dati attingendo dalle copie di backup (se sono state correttamente eseguite).
Naturalmente non basta una particolare attenzione nei confronti delle vulnerabilità di sistema, ma vanno attuate una serie di contromisure adeguate a limitare al massimo il rischio di “disastro informatico”.
Una contromisura di carattere fisico consiste, ad esempio, nel vietare l’accesso alle sale server ed alle canalizzazioni di rete al personale non autorizzato; molteplici sono, invece, le contromisure di carattere procedurale che si applicano alle persone allo scopo di non causare vulnerabilità di sistema: la durata di una password, la sua custodia, la sua complessità, il suo corretto utilizzo sono di fondamentale importanza per mantenere alto il livello di sicurezza all’interno di una struttura informatica; inoltre un corretto e frequente aggiornamento degli antivirus, la cancellazione di supporti magnetici e/o la distruzione completa degli stessi prima dello smaltimento per inutilizzo innalzano ancor di più il grado di sicurezza del sistema. Di rilevante importanza è anche, la cancellazione in modalità “sicura” di tutti i dati di un supporto prima di inviarlo in assistenza e la corretta applicazione delle politiche di backup aziendali. Oltre alle contromisure di carattere procedurale ci sono poi quelle gestite a livello tecnico informatico classificate in:
a) Identificazione ed autenticazione
b) Controllo degli accessi
c) Rendicontabilità
d) Verifica
Quattro categorie che si intersecano fra loro e che innalzano il grado di sicurezza di un sistema informativo. Per capire cosa si intende per identificazione, pensiamo all’utente Mario Rossi che si autentica inserendo la sua password entrando così in un sistema che, se configurato opportunamente, garantirà l’accesso solo alle informazioni a lui destinate e non a tutto il contenuto del sistema informativo. Opportune regole assegnate tramite software forniranno all’utente quelle credenziali e permessi personalizzati rispetto alle informazioni presenti nel sistema (accesso per sola lettura su alcuni files, scrittura su altri, accesso negato per altri, ecc. ecc. ).
Il tutto gestito da un controllo degli accessi che, se affiancato da corrette impostazioni di Accauntability (rendicontabilità), permetterà di attribuire la responsabilità di tutti gli eventi all’ utente che li ha causati; il tutto attraverso l’analisi e/o verifica dei file di Logging dove si troveranno le informazioni inerenti errori e/o informazioni su violazioni di sicurezza.
Alcuni consigli utili per una prima implementazione di un sistema di sicurezza:
a) Installazione di un buon Antivirus con aggiornamento continuo
b) Backup periodico in base all’importanza dei dati
c) Installazione degli aggiornamenti (patch) del sistema operativo.
d) Particolare attenzione al software superfluo o di dubbia provenienza.
e) Particolare attenzione a non aprire gli allegati non attesi, di qualunque tipo, chiunque ne sia il mittente
f) Disattivazione degli ActiveX, Javascript e Visual Basic Scripting. Riattivazione soltanto in caso di visita siti di indubbia reputazione.
g) Particolare attenzione ai link presenti nei messaggi di posta; possono essere falsi e tramiti per siti-truffa.
h) Incremento di sicurezza del browser togliendo la memorizzazione automatica dei moduli e delle password.
Un esempio attuale: Phishing
Il phishing (spillaggio di dati sensibili) è un’ attività illegale ormai utilizzata sempre più spesso da malintenzionati che, attraverso delle mail fasulle, cercano di attrarre l’utente in siti “simili” a quelli “originali”; l’utente, ingannato dall’aspetto del sito identico a quello originale e dalla mail fasulla dove lo si richiama ad un controllo dei dati per vari scopi amministrativi, inserirà in buona fede i propri dati personali utilizzati di norma per accedere al sito originale (ad es. l’home banking e/o l’area riservata per la gestione della carta di credito) all’interno del sito gestito dal criminale, consegnando così i propri dati che potranno in un secondo momento servire per un accesso al sito originale da parte del criminale stesso.
Un esempio di posta elettronica che arriva sulla casella di posta elettronica di un utente.
Massimo Chirivì - Febbraio 2011