Vi sarà capitato di sentire di qualche amico o collega che ha avuto problemi di sicurezza informatica: attacchi hacker a siti web, carte di credito clonate, truffe on line, dati criptati e riscatti da pagare per decriptarli.
La sicurezza informatica è un tema caldo dei nostri giorni: per difendersi è necessario non solo dotarsi di infrastrutture tecnologiche in grado di tutelarci, ma prima di tutto comprenderne le logiche e adottare dei comportamenti virtuosi fatti di piccoli accorgimenti e un po’ di prudenza che possono evitarci di incappare in situazioni spiacevoli, dalle quali può risultare abbastanza costoso uscire.
Ne abbiamo parlato con Dino Fazzini, CIO di Digimetrica Srl, società che si occupa di sicurezza informatica, networking e collaboration realizzando infrastrutture informatiche ad alto valore tecnologico.
Questa è la prima parte di una guida in due puntate che vi darà suggerimenti utili per tutelarvi e capire un po’ di più le logiche degli hacker.
Dino, perché è così importante parlare di sicurezza informatica?
Oggi più che mai comunichiamo tantissimo: terabyte di dati si scambiano ogni giorno tra persone di tutto il mondo con dispositivi diversi. E non parlo solo dei messaggi tra persone, ma anche di transazioni economiche tra utenti e macchine, istruzioni su compiti da svolgere scambiate tra macchine e macchine. Cellulari, tablet, smart tv, elettrodomestici, sistemi informatici per la produzione industriale: tutti i dispositivi contengono informazioni importanti che dobbiamo tutelare e conservare appropriatamente.
È necessario organizzarsi perché le informazioni siano “consistenti”, cioè non intercettate e non trafugate, i segreti industriali e i dati personali protetti, ma anche per rispondere ai requirements normativi che si stanno facendo via via più stringenti: a maggio 2018 entrerà in vigore la nuova legge sulla privacy europea (GDPR – General Data Protection Regulation, Regolamento UE 2016/679), con sanzioni pesantissime per aziende e organizzazioni che non proteggono adeguatamente i dati sensibili dei propri clienti o dipendenti. Ad esempio, in caso di attacchi ai dati personali di utenti o dipendenti l’azienda può subire una multa fino al 2% del fatturato aziendale se non notifica il problema agli interessati in maniera tempestiva. Le sanzioni arrivano poi fino al blocco delle attività in caso di mancata adozione di provvedimenti risolutivi.
Nessuno potrà più ignorare queste regole d’ora in poi.
Quali regole di base le organizzazioni possono adottare per tutelarsi?
Prima ancora di preoccuparsi di infrastrutture di rete e sistemi di sicurezza evoluti è importante chiarire alcuni concetti di ordine generale. In molti sono convinti che acquistando un software antivirus o installando un firewall si risolvano tutti i problemi, ma in realtà non è solo una questione di applicativi.
La prima cosa da fare è classificare i dati: di che tipologia sono i dati in mio possesso? Quali sono i più importanti per la mia attività? Quali sono di mia proprietà e quali dei miei clienti? (pensate ad esempio a uno studio professionale, dove sono raccolti dati sensibilissimi di persone fisiche e giuridiche) Dove e come sono archiviati? Come vi si accede e come sono conservati?
Dalle carte di credito ai documenti sanitari, dalle email ai dati di profilo dei social network, tutti noi abbiamo distribuito i nostri dati su varie piattaforme cloud che non sono di nostra proprietà. Dobbiamo essere certi di ricevere un livello di servizio adeguato in termini di sicurezza sia per i nostri dati che per quelli dei nostri clienti, quando sono archiviati su piattaforme di provider esterni ma di cui noi siamo responsabili.
In secondo luogo, è indispensabile definire ruoli e procedure per il trattamento dei dati: al di là della nomina formale di un responsabile del trattamento (come impone la nostra Legge sulla privacy, D.Lgs. 196/2003), è importante individuare quali sono le attività basilari che assicurano la consistenza e l’accessibilità a lungo termine dei dati, le procedure da adottare per la gestione corrente e quelle straordinarie in caso di attacchi o perdita accidentale dei dati.
Solo a questo punto si può pensare di investire risorse in dispositivi e infrastrutture tecnologiche che aiutino a proteggere la mia organizzazione.
Quali sono le prassi minime da adottare a livello operativo?
Se guardiamo agli ultimi attacchi (CryptoLocker e WannaCry, che tanto hanno fatto notizia) vediamo che entrambi si basano sulla vulnerabilità dei sistemi operativi: spesso computer, tablet, router possono essere delle back door dalle quali entrare su altri dispositivi e hackerare dati e sistemi. La prima regola quindi è aggiornare i sistemi operativi di tutti i nostri dispositivi (privati e aziendali) per garantirci un livello minimo di sicurezza di base.
Oggi si parla molto di sicurezza degli endpoint: una volta era sufficiente installare l’antivirus al computer o al server, oggi invece il traffico dati passa da molteplici dispositivi (possiamo aprire un’email da telefono e poi rispondere da computer, possiamo acquistare on line da telefono o effettuare una transazione bancaria) e il semplice antivirus su un singolo dispositivo non basta più, perché sono tutti connessi tra loro. Inoltre, gli attacchi non si basano più solo su pezzi di codice malevolo da bloccare con un altro pezzo di codice (l’antivirus) ma presuppongono la “collaborazione” dell’utente: questa è la logica dei ransomeware, attacchi basati su email o link da cliccare che in pochi secondi criptano tutti i dati sia sui dispositivi endpoint (telefoni, computer) che su server, per decriptare i quali vengono richiesti riscatti pesantissimi.
La seconda cosa importante è formare le persone a gestire i dati in sicurezza: noi di Digimetrica stiamo preparando dei corsi da erogare in modalità e-learning che hanno l’obiettivo di formare il personale a tutti i livelli aziendali. Per questo parliamo di security awareness: la consapevolezza, cioè, che il problema della sicurezza informatica esiste e che tutti devono fare qualcosa per tutelarsi. Gli attacchi arrivano in forme note ed estremamente familiari: le email di phishing ad esempio hanno un layout noto che replica quello delle email aziendali, spesso il nome del mittente fasullo cambia di una sola lettera rispetto a quello vero, e a una lettura veloce la differenza può sfuggire. Una buona regola è non dare mai informazioni on line e lasciare i propri dati solo quando si è sicuri al 100% del sito internet che stiamo navigando.
E come possiamo sapere se un sito è sicuro oppure no senza essere degli informatici professionisti?
In realtà basta poco, non ci vogliono competenze particolari ma solo un po’ di attenzione. Innanzitutto le connessioni (soprattutto a siti sui quali si lasciano dei dati) devono essere sicure: l’indirizzo web deve iniziare con https, e non semplicemente http (‘HyperText Transfer Protocol over Secure Socket Layer), e nella barra di navigazione deve esserci un lucchetto verde che indica una connessione criptata. In mancanza di questo evitate di lasciare i vostri dati on line.
In secondo luogo, controllate sempre di chi è il dominio sul quale state per registrarvi o fare un acquisto. Sui social network ad esempio girano tantissime pubblicità che poi vi portano a fare acquisti su domini non sempre affidabili, ma chi ha registrato il dominio? È una società italiana o estera? Il sito esiste da molto o da poco?
All’indirizzo http://www.scamadviser.com potete controllare in pochi secondi se un dominio internet è affidabile oppure no, ma basta anche fare una rapida ricerca su Google inserendo le parole chiave “truffa”, “frode” accanto al nome del prodotto o dell’azienda da cui volete acquistare e in pochi secondi saprete qualcosa in più. Per controllare i dati di registrazione del dominio invece basta andare su https://www.whois.com/whois/, e in pochi secondi avrete le informazioni di base sull’azienda che ha registrato il dominio internet che state navigando.
Ad esempio, qualche tempo fa volevo acquistare un prodotto pubblicizzato su un social network: ho fatto un paio di controlli e ho visto che il nome della società e quello del registrar del dominio non erano gli stessi, e la società era di un russo con dominio registrato a Panama! Non ho la certezza che fosse una frode, ma dal mio punto di vista è stato sufficiente per non andare avanti. Se Facebook o Instagram pubblicano una campagna pubblicitaria non è detto al 100% che questa sia affidabile, bisogna sempre controllare la fonte.
La sicurezza informatica è fatta anche di piccoli gesti.