Ogni giorno il tema della Sicurezza informatica acquista sempre maggiore importanza: tutte le attività umane, nei paesi maggiormente sviluppati, sono gestite informaticamente. Ma questa enorme mole di informazioni è effettivamente al sicuro? Come può aiutarci il cloud?
Sul tema della sicurezza informatica si è detto tutto ed il contrario di tutto.
Ogni esperto di informatica può affermare con tranquillità che la sicurezza informatica è uno dei 3 temi principali del proprio lavoro. Gli altri due sono il proprio ambito di specializzazione e la formazione continua.
Nessun sistema informatico ha la garanzia di essere sicuro al 100%. Tanto meno un sistema informatico creato dall’uomo.
Per definizione ogni sistema informatico è sicuro in forma inversamente proporzionale alla propria capacità di comunicazione verso l’esterno.
Il sistema più sicuro è quello totalmente disconnesso e non accessibile fisicamente. Ovviamente ciò non è possibile e la situazione che dobbiamo gestire è l’esatto opposto: ogni sistema moderno funziona in stretta simbiosi con la connettività e offre servizi esclusivamente in forma interconnessa.
Sicurezza informatica ed informazioni
Rispetto ad un decennio fa la sicurezza informatica si è trasformata enormemente, introducendo nuovi paradigmi e nuove professionalità. Al giorno d’oggi praticamente tutte le aziende di medie-grandi dimensioni hanno uno staff di esperti dedicato alla sicurezza informatica.
La necessità di dotarsi di staff altamente qualificati e specializzati è strettamente legato al valore dell’informazione (vedasi la Parte 4 di questa serie di articoli) e alla costante dematerializzazione che facciamo di tutte le informazioni.
Oggigiorno solamente i delinquenti, oppure gli agenti segreti, utilizzano la forma cartacea o verbale per comunicare le informazioni più importanti.
Le frontiere nostrane
Alcune volte non possiamo decidere in modo autonomo la gestione e la protezione delle nostre informazioni digitali.
L’Italia è uno dei tanti paesi che si è dotato di strumenti informatici per la raccolta e la certificazione di una serie d’informazioni dei propri cittadini.
L’introduzione della PEC, della Conservazione Sostitutiva e, in ultimo, della Fatturazione Elettronica hanno introdotto in Italia una serie elevata di vincoli e di adempimenti per i cittadini.
Queste novità dovrebbero aiutarci nella comunicazione verso terzi in modo certificato e garantito nella sua immodificabilità (PEC), nella conservazione e immodificabilità dei documenti ufficiali (Conservazione Sostitutiva) e, infine, nella comunicazione, invio e immodificabilità delle transazioni commerciali (Fatturazione Elettronica).
Avete notato che l’immodificabilità è il tema base di ogni innovazione?
Forse perché l’evasione e la non tracciabilità, attraverso falsa o contraffatta documentazione fiscale, è uno dei maggiori ammanchi del nostro stato?
Cloud provider italiani
La ricaduta strutturale è stata molto importante anche per i cloud provider. I cloud provider operanti in Italia, che volevano affrontare questi mercati, hanno dovuto adeguarsi molto velocemente, offrendo servizi fino a poco tempo prima praticamente inesistenti.
Il grafico qui sopra riporta la quantità di fatture elettroniche inviate allo SDI, ovvero all’Agenzia delle Entrate, da gennaio 2019.
Immaginate adesso la mole enorme di informazioni che sono state gestite da tutti gli intermediari accreditati (ovvero le aziende informatiche che possono inviare i file delle fatture all’Agenzia delle Entrate) che hanno inviato le fatture allo SDI per i loro clienti.
Pensate che tutte le fatture, comprese ad esempio quelle relative alle prestazioni medico/sanitarie, oppure notarili o delle nostre attività private, passano per questi sistemi informatici.
Senza alcuna possibilità da parte nostra di controllare la qualità della sicurezza informatica adottata, ne tanto meno la protezione dei dati.
Il resto del mondo
Per non parlare del numero di email scambiate annualmente.
A ottobre 2018 Google annunciava con un tweet che c’erano 1.5 Miliardi di account GMail attivi, ovvero 1 persona su 5 del pianeta ha un’email con Google.
Sapete che il numero di informazioni personali o sensibili che scambiamo via email, in forma volontaria oppure involontaria, è maggiore di tutte quelle che forniamo in forma scritta in tutta la nostra vita?
Questo ci fa capire che, nonostante tutte le informative privacy che firmiamo quasi quotidianamente, gran parte delle informazioni che divulghiamo sono fuori dal nostro controllo.
La cosa fondamentale è ricordare che queste informazioni sono affidate a cloud provider che nella maggior parte dei casi sono esteri e molte volte al di fuori dell’ambito di controllo della Comunità Europea, che dovrebbe proteggere e controllare questa divulgazione.
Qual’è il livello di sicurezza informatica che possiamo aspettarci da questi cloud provider, nazionali o internazionali, riguardo alle nostre informazioni personali o sensibili?
Cloud e obblighi transnazionali
Una delle prerogative dei moderni cloud provider è la ridondanza dei dati.
Solamente con sistemi altamente ridondati c’è la ragionevole certezza di poter affrontare un recupero di successo delle informazioni in caso di perdita o distruzione.
Vista la necessità di offrire servizi cloud sempre più concorrenziali, aumentando contemporaneamente la quantità e la varietà dei servizi stessi, i cloud provider più grandi hanno dovuto guardare oltre i propri confini territoriali.
Questa necessità ha consentito la nascita di data center in altri paesi, offrendo l’opportunità (a prezzi estremamente concorrenziali) di ridondare le informazioni in siti geograficamente distanti, proteggendo de facto le informazioni da eventi geo politici nazionali.
La sicurezza della comunicazione delle informazioni in transito tra più siti è fondamentale e deve essere garantita quanto la loro custodia.
Le informazioni che inviamo al nostro cloud provider devono essere protette adeguatamente, così come lo devono essere all’interno della rete del cloud provider.
Anche l’Unione Europea, attraverso il GDPR, ha sancito la necessità di proteggere le informazioni in transito attraverso la crittografia end-to-end.
La stessa metodologia di protezione è stata adottata da Skype, da Whatsapp, da Facebook e da molti altri, vedasi Wikipedia per una breve descrizione.
Chi fosse interessato ad approfondire è meglio che parta dalla versione inglese.
Ogni aspetto relativo alla sicurezza deve essere valutato attentamente nella scelta di un cloud provider per la propria attività.
Vista l’elevatissima capacità tecnica raggiunta dagli hacker è necessario saper scegliere un fornitore sulla base di tutti i fattori di sicurezza che possono entrare in gioco.
L’adozione del GDPR è stata immediatamente recepita dagli stati membri, con alcune particolari adozioni come quella tedesca del BDSG (Bundesdatenschutzgesetz) che impone limiti ancora più restrittivi; d’altronde è tedesca la prima legge sulla protezione dei dati personali del 1970.
Tutto questo denota una necessità, molto sentita da parte di tutti i cittadini dell’Unione, di sentirsi protetti; consapevoli di non possedere i mezzi tecnici ed economici per difendersi in prima persona.
Sicurezza informatica digitale
La sicurezza informatica si compone di due aspetti complementari tra loro: l’aspetto fisico e quello digitale.
L’aspetto digitale è evidente e gran parte delle informazioni che i media sfruttano per “accendere” la nostra tensione verso l’argomento, si riferiscono a questo aspetto.
Prendiamo ad esempio la notizia del 28 ottobre 2019 relativa al data breach, ossia la possibile compromissione, dei dati personali di 3 milioni dei propri clienti da parte di Unicredit.
Questa notizia fa riferimento ad un problema avvenuto nel 2015 e portato alla luce dai media solamente adesso, anche se non è l’unico relativo ad Unicredit negli ultimi 12 mesi.
Qualora le nostre informazioni personali fossero cadute in mani sbagliate è chiaro che adesso, dopo 4 anni, non possiamo effettuare alcuna azione utile a limitare il danno. Ma la notizia è rimbalzata sui media internazionali e vende.
Adesso vi pongo una domanda: secondo voi quanti record, ossia informazioni strutturate di carattere personale o sensibile, sono state oggetto di attacchi andati a buon fine nei primi 6 mesi del 2019?
La cifra non è da poco: 4,1 miliardi di record !
Il 2019 si appresta a diventare l’anno dei record. Se dal computo togliamo solamente la Cina, praticamente ogni persona al mondo, dall’età adolescenziale in avanti, ha ipoteticamente subito un furto di dati personali.
Presto detto che la difesa dei dati digitali, e di conseguenza la sicurezza informatica digitale, è fondamentale per chiunque e di difficile attuazione.
Sicurezza informatica fisica
La sicurezza informatica fisica è meno “pubblicizzata” perché gli accessi fisici non autorizzati sono più difficili da attuare e molto più rari. Tuttavia non tutti sanno che quasi ogni evento di data breach digitale è portato a termine grazie ad un aiuto, volontario o involontario, dall’interno dell’istituzione o dell’azienda colpita.
Le analisi effettuate hanno dimostrato che i collaboratori sono la causa principale della fuoriuscita non autorizzata di informazioni sensibili:
I collaboratori, attraverso l’accesso fisico ai locali e alle infrastrutture informatiche dell’azienda, sono una causa costante di possibili diffusioni. Ma il loro ruolo è fondamentale per l’azienda, quindi è necessario tutelarsi e tutelarli, mettendoli in condizioni di essere meno esposti a questi rischi.
L’adozione di un data center esterno con accesso controllato facilita enormemente il controllo degli accessi e la verifica puntuale dei dati acceduti.
Quello che vediamo sotto è lo schema di un moderno data center:
Il Data Center è accessibile solamente da personale qualificato ed autorizzato attraverso un primo livello di controllo (Area 1).
Dopo aver ottenuto l’accesso ai locali del data center, i tecnici possono operare sulle loro macchine interagendo attraverso appositi computer (Area 2) collegati direttamente con i server.
Solamente un gruppo ristretto di utenti può accedere fisicamente ai server (Area 3) e solamente ai propri, infatti si può notare l’icona di colore verde ad indicare la possibilità di accedere esclusivamente ai propri rack.
Il data center contiene al suo interno ulteriori aree protette, quelle che vedete in alto dietro un ulteriore muro alle spalle dei server clienti.
In queste aree sono custodite le infrastrutture di controllo, nonché i server che offrono servizi gestiti ai clienti (come ad esempio un database SQL Server o MySQL). Queste aree sono accessibili esclusivamente al personale del cloud provider.
Pensiero e azione
In un ambiente protetto, difeso da pareti blindate e controllato da telecamere e sistemi di accesso biometrico, è evidente che ogni persona si senta intimorita nei movimenti che compie.
Un data center rappresenta un modo per far percepire il peso della responsabilità delle proprie azioni sulle informazioni in esso contenute.
Vi garantisco che la presenza di server fisici in azienda, nonostante l’iniziale timore reverenziale, non suscita neppure lontanamente il medesimo livello di criticità dei dati in essi contenuti. A lungo andare vengono vissuti come commodity e il livello di guardia tende a diminuire.
Il differente approccio all’informazione determina anche un dissimile approccio ai problemi derivati dalla sua gestione.
L’azione che deve essere intrapresa, in caso di presunto o effettivo data breach in base alla normativa vigente, è avviata d’ufficio da parte di un cloud provider, attraverso i propri organi di controllo interni.
All’interno di un’azienda, invece, è molto più difficile riscontrare lo sviluppo di un corretto processo di notifica al Garante, nonché di informazione verso i propri clienti, i collaboratori o i fornitori colpiti dall’evento.
Conclusioni
Il tema della sicurezza informatica tiene banco da decenni, il primo atto ufficiale in tema di data security risale al 1967 con il rapporto di Ware.
Nonostante oltre trent’anni di esperienza alle spalle l’anno in corso si appresta ad essere il peggiore nella storia della sicurezza informatica.
Ma quali sono le cause? Semplice: l’accesso da parte di sempre più persone a sistemi informatici che contengono un numero sempre maggiore di informazioni personali e sensibili.
Avete mai provato ad inserire i dati della vostra carta di credito in un motore di ricerca? Non fatelo!
Vi assicuro che il giorno dopo ci saranno decine di tentativi di utilizzo illecito. Quindi, secondo voi, chi ha ceduto illegalmente le informazioni relative alle vostre ricerche?
Non sicuramente il board della Google o quello della Microsoft, ma sicuramente qualcuno che all’interno ha accesso a questi database.
L’unica sicurezza informatica che abbia un vero valore è la cultura dell’onestà ed è qualcosa che non si compra.
Anzi, si compra eccome!
Si compra attraverso le persone che assumiamo, i fornitori che selezioniamo e la nostra propensione personale che sviluppiamo ogni giorno studiando ed informandoci.
A presto !
