Reati informatici e aziende

Il 12 marzo 2001 il Computer Security Institute di S. Francisco ha reso noti i dati della sesta indagine su “Computer crimes e sicurezza informatica”, svolta, come ogni anno, in collaborazione con l’International Computer Crime Squad’s Office del Federal Bureau of Investigation.

L’indagine ha interessato una base di rilevazione costituita da 538 entità [1] – della quale hanno fatto parte agenzie governative, istituti bancari, compagnie di assicurazioni, centri di ricerca, università, istituzioni ed aziende sanitarie – ed ha consentito di acquisire dati interessanti, che evidenziano una situazione diversa da quella che solitamente viene rappresentata dai mass-media.

Il 91% delle aziende ed istituzioni interpellate ha dichiarato di avere un sito web; solo il 47% di esse risulta esercitare attività di commercio elettronico.

Uno degli elementi che immediatamente colpisce l’attenzione, ad un primo sommario esame dei dati riferiti dal CSI, è la percentuale dei problemi riconducibili all’azione di virus informatici (85%) e ad errori umani (70%).

Solo il 25% del campione, invece, riferisce di aver subito accessi non autorizzati dall’esterno, mentre problemi più rilevanti risultano essere il danneggiamento, gli attacchi DOS, la sottrazione di informazioni riservate e le frodi finanziarie (8%).

La sicurezza informatica e le perdite finanziarie causate dai crimini informatici sono costate nel 2000, alle aziende ed istituzioni statunitensi, circa 377 milioni di dollari, un dato che risulta in preoccupante crescita rispetto ai 265 milioni di dollari del 1999 e ai 120 milioni di dollari degli anni precedenti.

Dal rilevamento risulta maggiore l’attenzione dedicata dalle aziende alle connessioni ad Internet e alle problematiche della sicurezza delle reti aziendali, considerate punti sensibili dal 70% degli interpellati. Risulta anche notevolmente aumentata la percentuale dei soggetti disposti a denunciare gli attacchi alle autorità, salita dal 16% del 1996 al 35% del 2000.

Nonostante sia in aumento il numero degli assalti e dei tentativi di assalto dall’esterno, probabilmente a causa della massiccia diffusione di Internet avutasi negli ultimi anni, gli esperti del CSI tornano ancora una volta ad evidenziare come il vero problema, per aziende ed istituzioni, sia rappresentato dagli “insiders”, ossia dipendenti e collaboratori infedeli che abusano della fiducia in essi riposta e della posizione rivestita nell’ambito della struttura cui appartengono per curare i propri interessi in danno di quelli dell’azienda o dell’istituzione dalla quale sono retribuiti.

E’ altresì opportuno sottolineare che non è affatto trascurabile il danno arrecato alle aziende dall’uso improprio delle risorse aziendali e dai comportamenti non corretti, benché attuati in buona fede. Il 79% dei dipendenti abusa dei collegamenti ad Internet per scaricare immagini pornografiche o software illegale; l’85%% delle infezioni da virus rilevate all’interno delle aziende viene attribuito a tale deplorevole pratica e alla diffusa quanto deprecabile abitudine di disattivare firewall e antivirus per non aver fastidi durante la navigazione.

I risultati del sondaggio evidenziano un ulteriore incremento degli attacchi DOS e DDOS; incremento che desta preoccupazione ove si consideri che, al momento, non esiste una soluzione definitiva per evitare o arginare assalti di questo tipo e che, per i prossimi anni, è previsto il trasferimento su Internet della maggior parte dell’attività di aziende ed istituzioni.

Patrice Rapalus, Direttore del CSI, ha ribadito, commentando il rilevamento, che la commissione di molti crimini informatici è stata agevolata, se non addirittura resa possibile, dalla scarsa attenzione prestata all’adozione e al rispetto delle misure di sicurezza, mentre è stata riscontrata una forte diminuzione delle iniziative criminali nei confronti delle aziende ed istituzioni che sviluppano ed aggiornano costantemente i loro sistemi di sicurezza.

Bruce Gebhardt, agente FBI specializzato in crimini informatici, ha evidenziato che i risultati delle ricerche compiute negli ultimi anni dimostrano la crescita e la complessità del fenomeno cybercrime, ed ha sottolineato come l’errore più grave solitamente commesso consista nel sottovalutare i reali pericoli connessi alle nuove tecnologie.

In realtà, le uniche armi veramente efficaci contro la criminalità informatica risultano essere la prevenzione e lo sviluppo costante di adeguate misure di sicurezza, fisiche, logiche e, soprattutto, organizzative.

Le risultanze del sondaggio del CSI erano state anticipate, seppur parzialmente, dal rapporto dell’Internet Fraud Complaint Center, reso pubblico nel mese di marzo 2001 ed aggiornato al 3 novembre 2000

Nel breve lasso di tempo intercorso tra la costituzione della partnership tra FBI e NW3C – che ha dato vita all’IFCC – e il mese di Novembre 2000, in cui è stato redatto il documento di che trattasi, sono state raccolte 19490 denunce, ripartite come segue:

Tipologia%
Frodi in aste ed incanti48,8
Merci non consegnate a pagamento avvenuto19,2
Problemi di sicurezza16,9
Frodi con carte di credito4,8
Furto di identità2,9
Frodi in affari2,5
Frodi per servizi professionali1,2
Altre frodi3,7

Appare utile evidenziare come le frodi con carte di credito ammontino ad un mero 4,8% rispetto al totale; dato che deve far riflettere sulla risonanza che, invece, i mass media solitamente riservano a tale tipologia di reato.

Se si considera che circa il 60% delle frodi commesse a mezzo Internet può essere attribuita alla scarsa correttezza degli operatori del mercato (privati o aziende che siano) appare evidente come il problema Internet, in realtà non esista come “crimine informatico” ma come “crimine tradizionale” attuato con strumenti informatici.

La perdita media denunciata è di 665 dollari USA, mentre l’indagine anamnestica evidenzia che il 72% delle vittime è di sesso maschile, e che l’età del 77% delle vittime oscilla tra i 20 e i 50 anni.

Nella tabella che segue sono riportati altri dati interessanti, relativi all’incidenza delle frodi in relazione al loro ammontare:

Ammontare della Frode%
Fino a 100 dollari30,3
Da 100 a 500 dollari35,6
Da 500 a 1.000 dollari16,8
Da 1.000 a 2.500 dollari12,4
Da 2.500 a 5.000 dollari2,8
Da 5.000 a 10.000 dollari1,2
Oltre 10.000 dollari0,9

Anche questi dati confermano un’ipotesi avanzata da tempo. La maggior parte delle frodi non vengono denunciate alle forze dell’ordine per la modesta entità del danno economico. Un qualsiasi procedimento attivato nei confronti dell’autore del reato, oltre a procurare evidenti danni di immagine, costerebbe, probabilmente, sia in termini di tempo che di spese da sostenere, molto più delle somme da recuperare.

Ed infatti, dallo stesso rapporto scaturisce che solo il 23,4% delle vittime intervistate ha denunciato l’accaduto alle forze dell’ordine, e che la ragione di tale riluttanza risiede proprio nella modesta entità dei danni (in media 210 dollari USA).

Il 58% delle vittime ha avuto contatti con l’autore del reato, il quale ha spesso offerto la soluzione del problema (probabilmente dietro corrispettivo).

Interessanti anche i dati rilevati in relazione agli autori dei reati che è stato possibile identificare o individuare. Risulta infatti che oltre il 60% degli stessi viene perpetrato da soggetti che agiscono da soli, mentre la residua quota è da attribuire a forme di associazionismo o criminalità organizzata.

Oltre l’80% degli autori dei reati è di sesso maschile. Non è da sottovalutare, ad ogni modo, la partecipazione delle donne, che si attesta ad un consistente 18%; dato da ritenere rilevante, se rapportato alla esigua percentuale di popolazione femminile che solitamente dimostra interesse per i sistemi informatici e telematici.

Dalle statistiche sinora commentate risulta evidente che il pericolo maggiore, per aziende ed istituzioni, non proviene dall’esterno, ad opera di criminali informatici di varia natura, ma dall’interno, ad opera di soggetti che godono di piena fiducia ed hanno accesso anche alle informazioni più riservate.

La scelta dei collaboratori, dei dipendenti, dei partner e dei professionisti, che hanno un qualsiasi rapporto con l’attività dell’azienda o dell’istituzione, è quindi particolarmente delicata, soprattutto oggi che le tecnologie informatiche e telematiche consentono di accedere rapidamente all’intero patrimonio informativo aziendale e di sottrarlo, danneggiarlo, copiarlo, e quant’altro.

Lo sviluppo costante di una policy di sicurezza è quindi indispensabile per prevenire qualsiasi tipo di crimine informatico, e, in tal senso, in Italia, il D.P.R. 318/99, nonostante riguardi il particolare settore del trattamento dei dati personali, ha il merito di aver destato l’attenzione di aziende ed istituzioni, seppur coattivamente, nei confronti delle problematiche connesse alla sicurezza informatica.

Si rileva, in tal senso, la tendenza delle aziende a curare con maggiore attenzione l’ottimizzazione delle risorse umane e la loro integrazione con l’infrastruttura tecnologica, alla ricerca di nuove sinergie che possano validamente contribuire allo sviluppo dell’attività d’impresa.

Le realtà commerciali ed industriali di grandi dimensioni hanno ormai al loro interno gruppi di lavoro che si occupano esclusivamente della gestione e dello sviluppo del sistema informativo aziendale, supportati da consulenti esterni specializzati nelle problematiche tecniche e giuridiche connesse alla sicurezza informatica.

L’esperienza maturata da tali strutture ha dimostrato come sia necessario aumentare soprattutto il livello e la qualità dell’informazione aziendale in materia di criminalità informatica e di rischi connessi ad un utilizzo non corretto delle risorse aziendali, affinché il personale sia maggiormente al corrente dei rischi connessi all’uso delle apparecchiature informatiche e dei dati e programmi di proprietà dell’azienda.

Proprio tale aspetto risulta essere il più remunerativo nel lungo periodo. Il dipendente reso edotto sulle problematiche connesse alla sicurezza informatica evita di mettere in atto una serie di comportamenti che potrebbero diversamente creare seri problemi all’azienda (es.: download di file infetti, installazione di programmi contenenti backdoor o spyware, annotazione di User-ID e password su un foglietto attaccato al monitor, ecc.) ed il controllo può quindi concentrarsi sui crimini informatici veri e propri e sulle misure da adottare per prevenirli e contrastarli.

Appare inutile evidenziare come la sicurezza informatica non possa essere misurata in termini assoluti. Non esiste un sistema informatico sicuro, ma misure di sicurezza che, in relazione ai dati da proteggere, possono essere ritenute sufficientemente affidabili.

Se è naturale proteggere il proprio ambiente di lavoro da intrusioni non autorizzate, di qualsiasi natura esse siano, è sicuramente necessario massimizzare il livello di sicurezza nel momento in cui si condivideun sistema in rete, indipendentemente dalla circostanza che si tratti di una rete locale o di Internet.

Allo stesso modo, la protezione di informazioni riservate deve essere più accurata rispetto a quella che si organizzerebbe per tutelare dati di scarsa rilevanza.

Per quanto ci si preoccupi sempre di chiudere a chiave la porta del proprio appartamento, ciò non significa che l’abitazione sia inviolabile. Allo stesso modo, nel mondo virtuale dell’informatica, approntare misure di sicurezza non significa avere un sistema inaccessibile. Chiunque corre il rischio di subire visite indesiderate; occorre, pertanto, cercare di contemperare ovvie esigenze di bilancio con la necessità di tutelare i dati immagazzinati, anche in relazione alla loro appetibilità per un criminale: se appare superfluo adottare misure di sicurezza per un sistema che fornisce pronostici per il totocalcio (per il quale il rischio di assalti finalizzati al blocco del sistema o alla distruzione delle informazioni ivi contenute è piuttosto basso e, comunque, non comporterebbe perdite ingenti), è sicuramente necessario procedere ad una seria valutazione dei rischi connessi all’attività di un Istituto Bancario o Assicurativo per via telematica.

Gianluca Pomante


[1] Le percentuali che saranno citate in questo documento sono sempre riferite al campione di 538 soggetti interpellati, e non sono cumulabili tra loro.

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *