Negli ultimi anni clamorosi furti “informatici” ai danni di note aziende hanno facilmente conquistato le seconde e terze pagine di giornali e telegiornali – da sempre poco attenti a notizie di questo genere.
E’ stato ad esempio il caso dei migliaia di account Dropbox pubblicati da un utente anonimo su Pastebin (ottobre 2014) o della fuga di dati confidenziali dagli archivi della Sony Pictures Entertainment (novembre dello stesso anno).
Più di recente i media si sono interessati delle “disavventure” di Yahoo: a settembre a causa di un gigantesco “leak” di account privati (circa 500.000 credenziali, non è chiaro se fossero appartenenti ad utenti “attivi” o meno) avvenuto sempre nel 2014 ma rivelato (o scoperto dai vertici aziendali anche se pare poco plausibile) all’opinione pubblica 18 mesi dopo; e la scorsa settimana per via di una presunta collaborazione tra l’azienda ed i servizi segreti statunitensi che avrebbero avuto liberamente accesso alle email degli utenti.
Sebbene alcuni ritengano (provocatoriamente?) che per le grandi compagnie sia meno costoso subire un attacco informatico piuttosto che investire in sistemi di sicurezza adeguati, per le piccole e medie aziende la situazione è diversa. Il portale CloudTweaks ha chiesto a Stephen Gates (Chief Intelligence Analyst presso NFOCUS, vendor di soluzioni per la “cybersecurity” a livello globale) quali norme di sicurezza dovrebbero adottare le imprese e quali potrebbero essere invece le tecnologie di “difesa” del futuro.
Un problema di sicurezza interno
Gates esordisce parlando delle iniziative del governo statunitense in merito al tema sicurezza: in una recente campagna di sensibilizzazione, si è infatti tentato di informare i cittadini e le aziende sui rischi del web e sull’auspicabile impiego di misure di sicurezza più consone – l’autenticazione a più fattori. Quando si parla di imprese, non esiste tuttavia alcuna regolamentazione che le obblighi ad implementare delle determinate policy di sicurezza, rendendo vani gli sforzi del governo.
Nel settore ICT il principale pericolo è rappresentato dagli stessi dipendenti. E’ infatti diffusa l’abitudine di utilizzare i computer aziendali per esigenze personali. Gli impiegati che subiscono il cosiddetto “furto d’identità” (trafugamento degli account personali) aumentano esponenzialmente la possibilità che il network aziendale sia colpito con successo da “iniziative” varie (phishing, ransomware, malware etc.). Una soluzione, aggiunge Gate, potrebbe essere quella di creare degli “ambienti separati” destinati all’uso personale ed allestiti con dispositivi, macchine e reti completamente autonome da quelle aziendali.
Per organizzazioni che raccolgono dati di miglia di utenti (come Yahoo, Google, Microsoft) l’autenticazione in due fattori dovrebbe essere il requisito minimo per ogni procedura di login, non solo degli utenti ma anche degli amministratori.
Soluzioni alternative
Gates parla anche di misure di sicurezza in fase di sperimentazione che fanno inevitabilmente pensare a serie tv sci-fi o ad una delle tante pellicole di 007: “impronte digitali, retina, tratti somatici e persino il DNA sono caratteristiche uniche di ogni individuo. Inoltre è stato scoperto da alcuni ricercatori che anche le proteine presenti nei capelli di ogni individuo [rappresentano qualcosa di unico]. Tutte queste cose dovrebbero essere impiegate per l’autenticazione di qualcuno e non password, token e codici a due fattori”.
Attualmente sono in commercio alcune soluzioni che si affidano a parametri biometrici come i lettori di impronte digitali (una “moda” che ha interessato tanto gli smartphone quanto i laptop) ed i sistemi di riconoscimento facciale per sbloccare i device. Soprattutto questi ultimi sono apprezzati da Gates che li ritiene un primo importante passo verso la giusta direzione. Le caratteristiche “uniche” di ciascun individuo sono impossibili da dimenticare o scordare in qualche posto (foglietti con le password, token etc.), aggiunge, ma per scrupolo è opportuno adottare il classico metodo in due fattori nel caso in cui gli altri metodi di identificazione fallissero.
In chiusura ed in base a quanto detto dall’esperto, bisogna osservare che nemmeno le futuristiche misure di sicurezza renderanno le aziende sicure al 100%. A molti potrà sembrare forse un omaggio alle serie tv ed ai Bond movies precedentemente citati, ma i dati biometrici come impronte digitali, capelli e quant’altro sono reperibili, con opportuni mezzi, dai malintenzionati – ad esempio le prime possono essere recuperate da un semplice bicchiere che abbiamo utilizzato al bar. Certo, i criminali dovranno necessariamente agire “di persona” e non dall’altra parte del mondo (comodamente seduti alla scrivania) ma il rischio zero è un lusso che resterà teoricamente irraggiungibile.