Michele Onorato, Security Office Manager di Westpole, ci parla di sicurezza nelle aziende e delle best practice per salvaguardare privacy e asset.
Premesso che tutti gli strumenti digitali che sono messi a disposizione sono strumenti che possono e devono essere utilizzati a prescindere perché agevolano il lavoratore in questa situazione di emergenza, questi devono essere utilizzati nel modo corretto per questo si devono prendere in considerazione due aspetti:
– Come l’utente utilizza questi strumenti
Il comportamento dipende dalla sua conoscenza dello strumento (l’azienda deve prevedere dei momenti formativi per spiegare le best practice, un aspetto sicuramente importante). È vero che è stato permesso di portare a casa il notebook ma in azienda ci sono determinati elementi di cybersecurity che non è detto siano ripetibili a casa. Le norme comportamentali base della cybersecurity devono essere ben chiare sia all’azienda che all’utente: banalmente, bloccando il device quando ci si allontana dalla postazione, leggere le mail in modo approfondito prima di scaricare allegati o cliccare link, non lasciare il device in auto ecc.
– Quali elementi di security ha previsto l’azienda
L’azienda deve essere cosciente dei rischi che nascono dal permettere l’utilizzo dello strumento: mentre tutte le aziende sono a conoscenza (o dovrebbero esserlo) dell’infrastruttura aziendale dove lavora l’utente in situazioni normali, i rischi del lavoro da remoto cambiano, soprattutto dal punto di vista della probabilità di accadimento. L’azienda dovrebbe essere “secure by design”, avere cioè progettato i requisiti di sicurezza per permettere di lavorare da remoto e in questo caso le aziende che già prevedevano smart/remote working hanno dovuto solamente ampliare la metodologia, ma per tutte le altre? In questo caso c’è stata un’emergenza diversa, le aziende più tradizionali hanno dovuto operare molto velocemente per preservare il diritto al lavoro, ma superata la prima fase ogni impresa deve contemplare un momento nel quale analizzare nuovamente i rischi che si stanno correndo per riallinearsi sui requisiti minimi.
I prerequisiti fondamentali sono tre
– Autenticazione: l’azienda deve verificare che chi si sta connettendo sia effettivamente l’utente che si deve connettere (un’autenticazione “forte” ovvero non solo user e password ma anche un altro passaggio come ad esempio un codice via SMS)
– Profilatura dell’utente: bisogna essere certi che possano accedere solo ai sistemi per i quali avrebbero l’autorizzazione anche in situazioni tipiche e non indiscriminatamente a tutti i sistemi.
– Software antivirus ma soprattutto anti-Malware: devono essere installati software di protezione sui device; oggi gli antivirus sono un po’ superati, meglio un anti-malware perché in grado di verificare i comportamenti sia dell’utente che di un singolo file nel tempo, ad esempio controllare la navigazione internet quando un utente esce da pagine protette (https), oppure utilizzando algoritmi di Machine Learning che permettono di controllare che quel file considerato innocuo oggi non inizi a creare attività sospette dopo qualche giorno…
– Il ricorso a VPN e gestionale da remoto
Uno strumento di questo genere può fare sì che l’azienda possa governare le modalità di connessione all’infrastruttura: fare installare un VPN client sulla postazione dell’utente è un’azione migliorativa per la gestione del rischio su tutti e 3 i fronti di cui sopra purché siano stati analizzati i rischi relativi ed introdotti dei requisiti di sicurezza.
Ad esempio, la VPN può essere impostata con un’autenticazione forte (per assicurare che la persona che si connette sia quella corretta), con un’impostazione personalizzata ai sistemi (ad esempio verificare chi ha il permesso di accedere al software gestionale) e anche verificare puntualmente se il pc ha installato software malevolo o se è sufficientemente aggiornato (potendo ad esempio bloccare l’accesso finché il dispositivo mobile non è aggiornato).
Vale comunque il discorso che l’educazione è al primo posto: non è lo strumento da solo a poter proteggere tutto. Ogni utente è un anello della catena e se un anello è debole, è debole tutta la catena.
– Esistono rischi specifici per l’utilizzo dello smartphone rispetto al desktop?
Se parliamo di smartphone, quanti di noi leggono attentamente quello che accettano quando scaricano un’app? Il procedimento tipico è quello di un “click compulsivo” su “accetto le condizioni”, ma molto spesso ci sono delle applicazioni che chiedono di accedere alla videocamera, al microfono o ai contatti pur non prevedendo condivisione di foto o immagini nell’utilizzo dell’app stessa.
L’utente può essere portato a pensare che sia l’azienda a preoccuparsi di tutti i meccanismi di sicurezza ma in realtà gli umani sono un anello della catena e il più importante: ad oggi il 90% dei malware entra in funzione perché un utente compie un’attività pericolosa e questo vale per qualsiasi strumento sia utilizzato per il lavoro da remoto, l’aggiornamento delle persone (sui rischi che si modificano) è ancora più cruciale dell’aggiornamento dei sistemi.
– I rischi legati alla connessione di Wi-Fi casalinghe e le precauzioni necessarie prima di “aprire” le nostre reti wireless anche ai nostri vicini che senza connessione sarebbero in difficoltà.
Bisogna partire dal presupposto che tutto ciò che è connessione mobile (anche il Wi-Fi dell’aeroporto o dell’albergo per fare due esempi di reti alle quali fino a ieri ci connettevamo senza porci troppe domande) in generale è rischioso.
Esistono metodologie che permettono di attaccare i Wi-Fi pubblici, con attacchi hacker che provengono solamente da un’automobile nelle vicinanze di quel particolare Wi-Fi, il più famigerato è quello dell’impersonificazione del Wi-Fi pubblico: forse anche a noi è capitato senza accorgercene di vedere due reti molto simili dell’albergo dove soggiornavamo, magari con un “1” o uno spazio in più. Questi attacchi sono purtroppo frequenti e connettendoci al Wi-Fi dell’hacker potremmo dare la possibilità di registrare nomi utente e password private.
Nel caso dell’attuale lockdown, ovviamente rischiamo meno questo tipo di attacco e condividere l’accesso al proprio Wi-Fi in queste situazioni è legittimo, ma non significa che sia giusto dare libero accesso alle nostre reti senza proteggersi da possibili intrusioni.
Innanzitutto, dobbiamo utilizzare una password nuova e che non sia facilmente comprensibile (le tipiche date di nascita o soprannomi dei figli), in secondo luogo dovremmo avere la possibilità di controllare dal nostro provider che il traffico che sta passando dalla nostra linea sia “lecito” e utilizzato per le sole attività di lavoro o istruzione da remoto, ed inoltre esistono strumenti che consentono di programmare a monte quali attività posso consentire dalla mia connessione ad altri utenti.
Ricordiamoci inoltre che oggi siamo abituati ad avere una moltitudine di oggetti connessi come smart tv o speaker: se concediamo l’accesso libero alle nostre reti, un hacker o una persona cui concediamo l’accesso, potrebbe prendere il controllo anche di questi o comunque carpire “nostre” informazioni.
– L’aumento degli attacchi hacker, i nuovi fronti e i rischi specifici legati alla videoconferenza?
Le mail sono ancora oggi il maggior veicolo di attacco hacker e sicuramente l’emergenza legata al coronavirus ha aumentato le campagne mirate di phishing.
Gli hacker sfruttano in primo luogo la diffusione di un mezzo digitale (e le mail sono ancora oggi quella utilizzata dal 100% degli utenti) e in secondo la psicologia: in situazioni di emergenza, dove gli utenti cercano informazioni o soluzioni a una malattia è più facile per loro creare campagne di phishing ad hoc su questa tematica, per fare cadere gli utenti in azioni fuori dalla routine tipica.
Sono comunque sempre rischiose le “falle” riscontrate in queste settimane dai sistemi operativi (ad esempio legate all’utilizzo dei font): anche in questi casi è necessario comprendere i rischi che si corrono e introdurre dei requisiti di sicurezza per la gestione delle vulnerabilità in modo di rendere più complesso lo sfruttamento delle stess.
Riguardo alle videoconferenze, al di là della tecnologia quello che è cambiato è che abbiamo un nuovo strumento “interessante” per gli hacker, per il numero di utenti che ha iniziato ad utilizzarli.
Un “attaccante” cerca o prova a simulare un attacco solitamente per due motivi: o per recuperare denaro (o direttamente dall’utente o ricattando l’azienda) o per creare dei disservizi all’azienda stessa (ad esempio creando danni d’immagine).
Il passaggio al remote working su scala globale ha di colpo reso “di massa” quelli che fino a pochi mesi fa erano strumenti utilizzati da una nicchia, il numero di utenti è cresciuto attirando l’attenzione degli hacker, che hanno iniziato a cercare vulnerabilità nei sistemi per entrare in contratto con altri utenti.
Hanno avuto successo sia per l’originalità dell’attacco sulla routine dell’utente (ce li aspettiamo via mail, ma non in videochiamata) sia perché mediamente sono utilizzati software gratuiti non sufficientemente pronti per gestire un numero di connessioni importanti e non erano “secure by design”, ovvero progettati senza prevedere che un tale aumento del numero di utenti potesse scalare passando prima da un aggiornamento dei sistemi e da un sistema di autenticazione più sicuro e da altri requisiti specifici.
Progettare la scalabilità della sicurezza è fondamentale soprattutto perché quando le emergenze si verificano, risulta poi di gran lunga più costoso implementarli in corsa.
– Comunicare con la PA in periodo di emergenza – dal “boom” di accessi ai server alle App per la tracciatura dei soggetti infettati. Gli aspetti più critici alla luce dei recenti avvenimenti.
A questo riferimento abbiamo visto recentemente piattaforme della PA che non hanno saputo rispondere efficacemente ad un grande numero di connessioni contemporanee, ma la questione non è solamente informatica: progettare “secure by design” infatti vuole dire non solo software scalabile ma anche prendere soluzioni organizzative a riguardo.
Alla luce di costi e benefici, non avrebbe senso per qualsiasi portale, pubblico o meno, avere sempre lo spazio disponibile su un numero di server 100 volte superiore all’accesso “tipico”: in questi casi di emergenza va previsto sicuramente l’utilizzo di qualche server “extra” in appoggio ma va prima di tutto scaglionato l’accesso potenziale al sito stesso per giorni o fasce orarie ad esempio secondo criteri anagrafici, come è stato successivamente suggerito. Va comunque spezzata una lancia a favore di chi in questi tempi di difficoltà sta lavorando con la scarsità di risorse informatiche e di personale a disposizione; purtroppo non tutto è preventivabile ed è normale ragionare in ottica di trend di accesso storici; non avrebbe inoltre aiutato il ricorso a form a domande chiuse piuttosto che aperto all’immissione di un ampio volume di dati personali dato che il discrimine è nel numero di accessi contemporanei.
Per quanto riguarda le app di tracciamento attualmente in fase di studio, oggi esistono già al mondo esempi di app che consentono di fare tracciamenti in sicurezza. Il discorso alla base però deve essere sempre “chi è l’utilizzatore di queste app”? Dobbiamo prima di tutto essere sicuri che l’app possa essere usata in modo semplice e senza rischi; perché possa essere un modello applicabile deve essere progettata con determinati standard (se ad esempio si trovasse ad avere una falla di sicurezza, chiunque potrebbe avere a disposizione i dati di una platea potenzialmente sconfinata).
Può essere un modello replicabile ma la fase di progettazione di quell’app dev’essere molto stringente, mettendo in campo tutte le azioni necessarie.
Si è sentito parlare di geolocalizzazione come di beacon bluetooth per l’utilizzo all’interno delle strutture, tutti i sistemi “via etere” sono per natura più rischiosi ma non è detto che siano ostacoli insormontabili, se progettate da persone ben preparate sul tema della cyber security.