Sistemi informatici e sicurezza

Come ogni anno, dal 1996, il Computer Security Institute di S. Francisco – struttura accreditata e compartecipata dal Federal Bureau of Investigation statunitense, attraverso la collaborazione della propria Computer Intrusion Squad – ha recentemente reso noti i risultati della statistica sui computer crimes, liberamente disponibile, in versione integrale, all’indirizzo www.gocsi.com (ovviamente in lingua inglese).

Collegandosi al sito del CSI, è possibile compilare un modulo di registrazione (che può essere utilizzato anche per chiedere di ricevere la newsletter periodica che informa delle iniziative e dei seminari del CSI) e quindi effettuare il download dello studio in formato PDF.

Lo strumento è particolarmente utile per conoscere lo stato dell’arte degli attacchi ai sistemi informatici ed indirizzare gli studi in materia di sicurezza e l’utilizzo delle relative risorse economiche, tenendo presente che gli Stati Uniti sono da sempre un punto di riferimento, sia per la diffusione delle tecnologie, sia perché mercato nel quale i prodotti per la sicurezza vengono introdotti prima che in ogni altro paese.

L’esperienza americana, pertanto, è importante per comprendere quale sarà il tendenziale sviluppo dei computer crimes in Europa nel breve periodo.

In tal senso, è appena il caso di evidenziare che, proprio grazie a tale caratteristica di “cavia” degli Stati Uniti, molti virus informatici e attacchi, che negli USA hanno avuto effetti devastanti, in Europa non hanno praticamente provocato danni, o è stato possibile contenerli entro limiti ragionevoli.

Anche le case produttrici di hardware e software, infatti, utilizzano il modello americano come punto di riferimento per lo sviluppo di nuovi prodotti, e ottimizzano le risorse in funzione degli eventi che si verificano negli Stati Uniti.

E’ questo il motivo per cui, solitamente, l’arrivo di un nuovo virus informatico o la rivelazione di una tecnica di assalto innovativa, non trovano l’Europa impreparata ad affrontarli. Ovviamente, molto dipende dalla velocità con la quale il problema si propaga, e ciò spiega le eccezioni come Sasser, Nimda, Blaster, MyDoom, ed altre tipologie di programmi distruttivi o disturbanti, che in passato, proprio per l’eccezionale velocità di propagazione o per la sostanziale impossibilità di trovare una soluzione tecnica efficace, almeno nel breve periodo, hanno avuto effetti dirompenti anche nel vecchio mondo.

Come ogni anno, lo studio del CSI si basa su un questionario anonimo inviato a circa 3.000 aziende campione, che prevede una dettagliata analisi dell’organizzazione aziendale, delle misure di sicurezza adottate e dei problemi di sicurezza ed attacchi ai sistemi informatici e ai network aziendali riscontrati durante l’anno precedente.

In particolare, la rilevazione 2004 è stata aggiornata tenendo presenti i seguenti parametri:

  • la valutazione delle risorse economiche impegnate nella sicurezza informatica, in relazione agli effetti ottenuti;
  • la consistenza del budget orientato alla sicurezza informatica;
  • la necessità di formazione in materia di sicurezza all’interno dell’azienda;
  • l’impegno profuso nell’organizzazione della sicurezza;
  • l’impatto dell’outsourcing nell’attività volta a garantire la sicurezza informatica;
  • il ruolo del Sarbanes – Oxley Act del 2002 sulla sicurezza informatica;
  • i controlli periodici e le assicurazioni.

In un modo o nell’altro, tutte le nuove voci introdotte quest’anno, hanno come scopo o effetto quello di verificare l’effettivo impatto delle risorse economiche impegnate nella sicurezza informatica sulla riduzione dei rischi connessi all’utilizzo dei sistemi informatici. E quindi, in tal senso, fornire anche un’indicazione sull’opportunità di investire in questo ambito, ottenendo un rapporto costi – benefici. Appare infatti evidente come, ad una concreta analisi del mercato e della situazione risultante dagli interventi eseguiti, si possa tracciare un quadro che consenta di individuare le situazioni in cui è opportuno investire, differenziandole da quelle in cui, invece, un ulteriore investimento sulla sicurezza produce effetti inadeguati rispetto alle risorse impegnate.

Il campione di quest’anno è composto da aziende operanti nei seguenti settori, sulla base delle percentuali indicate:

  • Servizi pubblici – 5%
  • Industria – 12%
  • Finanza – 19%
  • Telecomunicazioni – 2%
  • Trasporti – 1%
  • Tecnologie – 13%
  • Sanità – 6%
  • Commercio – 3%
  • Educazione – 7%
  • Giustizia – 1%
  • Stato ed Enti Locali – 13%
  • Altro – 19%

Un campione sufficientemente rappresentativo della realtà, considerando anche la circostanza che le aziende alle quali viene inviato il questionario sono comunque già selezionate tra quelle maggiormente interessanti, sia dal punto di vista dell’appetibilità, per eventuali malintenzionati, delle informazioni protette dai network, sia per l’attività svolta.

Un altro dato rilevante – che dimostra come il campione sia oltremodo variegato – è rappresentato dal numero di dipendenti che le aziende hanno in organico, che consentono disegnare la seguente situazione:

  • da 1 a 99: 19%
  • da 100 a 499: 15%
  • da 500 a 1.499: 13%
  • da 1.500 a 9.900: 31%
  • da 10.000 a 49.999: 14%
  • da 50.000 in su: 7%

Un ulteriore dato interessante è rappresentato dalle Entrate dichiarate da ciascuna azienda, in termini di fatturato, che permettono di verificarne la solidità economica, ma, soprattutto, di tracciare un bilancio del rapporto tra entrate ed investimenti in materia di sicurezza.

Sulla base del fatturato, le aziende sono suddivise nel modo seguente:

  • al di sotto dei 10.000.000 di dollari: 20%;
  • tra 10.000.000 e 99.000.000 di dollari: 23%;
  • tra 100.000.000 e 1.000.000.000 di dollari: 20%;
  • al di sopra di 1.000.000.000 di dollari: 37%.

In relazione al budget disponibile, le aziende hanno dichiarato di aver investito nella sicurezza informatica i seguenti importi.

Meno dell’1% del budget: 16%

1-2%: 24%

3-5%: 22%

6-7%: 7%

8-10%: 8%

più del 10% del budget: 8%

Risulta evidente come, anche negli Stati Uniti, che pure risultano molto sensibili al problema della sicurezza informatica, la maggioranza delle aziende non ritenga tale aspetto particolarmente importante, subordinandolo, ad esempio, alle spese pubblicitarie.

In tal senso, con una sensibile diminuzione delle percentuali, si può traslare il prospetto sull’Europa, pervenendo ad una considerazione ancora più deludente. Non è una novità, infatti, che le aziende europee investano sulla sicurezza informatica in modo consistente solo dopo aver subito danni sostanziali a causa di problemi o attacchi di natura informatica. In tal senso, risulta abbastanza illuminante anche la situazione ingeneratasi, negli anni passati, in materia di sicurezza sul lavoro. Solo ad oltre 10 anni dall’introduzione della normativa nazionale che ha ridelineato e reso più restrittive le norme in materia, si è giunti ad una situazione soddisfacente, ma al costo di migliaia di processi penali e civili che hanno “svegliato” gli interessati.

Per non parlare del problema, tutto italiano, del considerare la spesa per la sicurezza informatica (e per la sicurezza sul lavoro) e per le consulenze in materia solo una fastidiosa voce di bilancio.

La recente esperienza in materia di privacy (non ancora terminata, peraltro) ha dimostrato, ancora una volta, come nel nostro paese si abbia la pessima abitudine di chiudere la stalla quando i buoi sono già fuggiti.

Nonostante siano trascorsi ormai quasi nove anni dall’entrata in vigore della prima disciplina dei dati personali, molte aziende ancora ignorano la necessità di acquisire il consenso al trattamento da parte di clienti, dipendenti e fornitori, e di rendere la relativa informativa. Così come ignorano, sostanzialmente, la necessità di procedere ad una approfondita e completa analisi dei rischi connessi all’utilizzo e alla sicurezza della infrastruttura ICT.

Non merita commento, infine, l’attività di quanti procedono alla mera compilazione del DPS (Documento Programmatico per la Sicurezza Informatica) inserendo i dati dell’azienda in un software, senza minimamente preoccuparsi di rendere concreta l’adozione delle misure di sicurezza e la formazione del personale.

Divagazioni – dettate dall’esperienza – a parte, lo studio del CSI di S. Francisco entra nel vivo con la differenziazione delle spese sostenute per la sicurezza informatica in relazione all’attività svolta dalle aziende pubbliche e private.

Emerge, dal confronto, un sostanziale divario tra i settori Telecomunicazioni, Tecnologie e Trasporti rispetto a tutti gli altri.

In questi tre settori di punta, l’investimento medio per impiegato, in materia di sicurezza informatica, infrastrutture e formazione, supera di gran lunga quello delle altre categorie (da 200 a 500 Euro pro capite). E mentre i servizi pubblici, lo Stato e la giustizia, quantomeno, reggono il confronto (circa 100 Euro pro capite), sono praticamente inesistenti gli investimenti dei settori sanità, industria, commercio, governo locale ed educazione.

Tale circostanza consente di comprendere meglio le ragioni per le quali gli attacchi informatici hanno maggiore successo nei confronti di queste categoria piuttosto che di altre. La scarsità di investimenti in infrastrutture e formazione comporta necessariamente un abbassamento del livello di protezione, soprattutto in termini di preparazione delle risorse umane, che sono il vero anello debole della catena.

Trarre in inganno o corrompere un dipendente, ovvero approfittare di una sua distrazione o di un suo errore, dettati dalla mancanza di policy aziendali sulla sicurezza informatica e di formazione specifica, è certamente più semplice che portare a termine con successo un attacco informatico, il quale necessita, quantomeno, delle capacità tecniche necessarie a scoprire le vulnerabilità del sistema, sfruttarle a proprio vantaggio e nascondere le tracce del crimine.

Approfittare della temporanea assenza del dipendente dall’ufficio, per trasferire i dati su un pen-drive, utilizzando la porta USB e sfruttando la mancata attivazione dei sistemi di protezione e blocco automatico (richiesta di inserimento di User Id e Password conseguenti al log-out automatico dopo x minuti di inattività, ad esempio), è un’attività semplice, poco rischiosa e destinata ad esaurirsi con successo in pochi minuti.

Un’altro elemento che si può rilevare dallo Studio del CSI è che anche negli Stati Uniti non vi è molta propensione, da parte delle aziende, ad avvalersi di servizi in outsourcing, almeno nel campo della sicurezza informatica. Tale aspetto, tuttavia, può essere spiegato con il maggior grado di alfabetizzazione informatica del cittadino medio statunitense rispetto a quello europeo, che consente alle aziende, anche di piccole dimensioni, di poter contare su amministratori di sistema e operatori sufficientemente preparati.

Occorre, inoltre, non dimenticare, che anche il grado di penetrazione dei sistemi informatici nella collettività statunitense è certamente superiore a quello europeo, e ciò comporta una maggiore sensibilità al problema della sicurezza informatica anche da parte del personale dipendente.

Si sta lentamente diffondendo, invece, il ricorso a polizze assicurative che coprono i rischi legati alla sicurezza informatica, abitudine che potrebbe essere prudentemente esportata in Europa se solo le Compagnie di assicurazione rendessero disponibili i relativi prodotti sul mercato Europeo.

Il 28% del campione intervistato, ha dichiarato di avere una polizza assicurativa per i rischi connessi alla sicurezza informatica.

Molto interessante il dato relativo alla comparazione degli studi effettuati negli ultimi sei anni, che fornisce una proiezione dell’efficacia della cultura della sicurezza, nonostante il proliferare degli attacchi e dei rischi, e, soprattutto, orienta correttamente l’attenzione degli addetti ai lavori sui reali pericoli per le aziende.

Incidenti complessivamente rilevati1-56-10>10Non so
200447%20%12%22%
200338%16%20%26%
200242%20%15%23%
200133%24%11%31%
200033%23%11%31%
199934%22%14%29%

Da questa rilevazione, che comprende sia gli attacchi dall’esterno che gli abusi commessi dall’interno dei network, ad opera di dipendenti o collaboratori infedeli (c.d. insiders) o semplicemente imbranati, emerge la progressiva riduzione degli incidenti e, soprattutto, una maggiore attenzione al problema da parte delle aziende.

Il dato relativo agli incidenti, infatti, si sposta considerevolmente, negli ultimi anni, in favore del minor numero di eventi rilevati nel corso dell’anno, segno di una maggiore solidità dei sistemi. Anche se il dato relativo alla seconda colonna (6>10), in lieve aumento, potrebbe far pensare ad una recrudescenza degli attacchi, in realtà occorre considerare che sono sensibilmente diminuiti sia il dato relativo agli incidenti superiori a 10 che quello corrispondente alle aziende che avevano dichiarato di non essere in grado di fornire la risposta.

Risulta interessante, in tal senso, l’aumento di consapevolezza delle aziende rispetto alla sicurezza dei propri sistemi informatici, se solo si considera che, dalla media del 30% dei primi anni (colonna “Non so”), si è passati al 22% dell’anno appena trascorso. Ciò significa che molte aziende hanno adottato tecniche e policy di sicurezza informatica che le hanno rese consapevoli della effettiva solidità della loro infrastruttura tecnologica e, soprattutto, di ciò che accade in caso di incidente informatico.

Il dato più preoccupante, infatti, in una statistica di questo tipo, è quello dell’inconsapevolezza, perchè, oltre a rivelare la scarsa attenzione, nelle aziende campione che hanno dato quella risposta, per il problema sicurezza informatica, probabilmente sottrae allo studio dati rilevanti, giacchè saranno certamente le aziende che hanno risposto “non so” le più esposte, e quindi quelle che probabilmente hanno subito più attacchi e più danni.

Incidenti esterni1-56-10>10Non so
200452%9%9%30%
200346%10%13%31%
200249%14%9%27%
200141%14%7%39%
200039%11%8%42%
199943%8%9%39%
     
Incidenti interni1-56-10>10Non so
200452%6%8%34%
200345%11%12%33%
200242%13%9%35%
200140%12%7%41%
200038%26%9%37%
199937%16%12%35%

Le tabelle che precedono dimostrano, ancora una volta, che l’impostazione commerciale del mercato è parzialmente errata, e che l’effetto devastante della disinformazione operata dai mass-media negli ultimi dieci anni inizia a farsi sentire. Le case produttrici di hardware e software, a causa dell’enfasi con la quale vengono solitamente pubblicate e diffuse le notizie relative agli incidenti informatici, continuano a promuovere la sostituzione e l’aggiornamento dei prodotti volti ad assicurare la sicurezza dei sistemi rispetto agli attacchi provenienti dall’esterno, senza dare il giusto peso ai rischi provenienti dall’interno dell’organizzazione, aiutate in tal caso, dall’errata percezione che l’utente finale ha del problema, circostanza che  incrementa la domanda dei prodotti di tale settore.

E’ pur vero che i software in grado di garantire il monitoraggio del traffico di rete e la sorveglianza interna, oltre ad essere decisamente onerosi dal punto di vista economico, entrano sovente in conflitto con le norme poste a tutela della riservatezza e, soprattutto, con quelle poste a tutela dei lavoratori. In tal senso, per quanto attiene agli incidenti interni, si spiega la crescita, rispetto alle altre tabelle, della risposta di tipo “non so”, probabilmente generata più dai problemi sopra citati che dalla reale sottovalutazione del problema.

L’uso di tali programmi, in Italia, è sottoposto ad una disciplina quasi ferrea, sia da parte dell’art. 4 della Legge 300/70 (Statuto dei lavoratori) che dall’attuale normativa sulla riservatezza dei dati personali.

Indagare sull’attività di un dipendente in rete, o all’interno dei locali dell’azienda, può essere un problema giuridico prima che tecnico. Dal punto di vista elettronico, il tracciamento è possibile con modalità talmente invasive da poter finanche verificare quali tasti il dipendente stia digitando sulla propria tastiera. Dal punto di vista fisico, la soluzione estrema potrebbe essere l’utilizzo di chip RFID (radio frequency identification) di cui si è parlato sul precedente numero di Sicurezza. Tali dispositivi elettronici potrebbero consentire di monitorare, momento per momento, l’attività del dipendente, da quando entra in azienda fino a quando esce.

In entrambi i casi, un’attività così invasiva sarebbe certamente censurabile ai sensi dell’art. 4 dello Statuto dei Lavoratori, in quanto lesiva della dignità del lavoratore, che davvero, in tal caso, potrebbe lamentare l’insorgere della c.d. “sindrome del pesce rosso”. Peraltro, anche dal punto di vista del trattamento dei dati personali, appare evidente la violazione del principio di necessità del trattamento, che impedisce qualsiasi acquisizione che non sia strettamente connessa agli scopi della raccolta. Il controllo delle presenze, evidentemente, non giustificherebbe l’adozione di chip RFID, nè il tracciamento sistematico di tutti i dati in transito sulla rete potrebbe essere giustificato da presunte esigenze di sicurezza.

Ad ogni modo, la ricerca del CSI dimostra, ancora una volta, che particolare attenzione deve essere prestata alla formazione e, più in generale, al rapporto con il personale dipendente.

Soprattutto negli ultimi anni, nonostante l’intensificarsi degli attacchi e l’incremento dei pericoli provenienti da Internet, è evidente la sostanziale equivalenza delle due tipologie di incidenti (interni ed esterni), e tale rilevamento deve far riflettere sull’opportunità propendere per l’aggiornamento della struttura tecnologica – quando essa sia comunque sufficiente a garantire l’efficienza dell’azienda e la messa in sicurezza dei dati – piuttosto che per l’investimento di risorse nella formazione del personale e nella gratificazione e motivazione dei dipendenti.

Pur permanendo inevitabili sacche di resistenza a qualsiasi stimolo o gratificazione, appare evidente come un dipendente motivato e gratificato, anche economicamente, e, soprattutto, consapevole dei rischi connessi all’utilizzo delle risorse tecnologiche aziendali, sia più efficiente e meno vulnerabile rispetto a qualsiasi tipo di attacco informatico o sociale, e sia meno propenso a commettere atti di sabotaggio o di sottrazione di dati riservati al solo fine di danneggiare l’azienda.

Inoltre, la potenziale corruttibilità del dipendente può essere elevata, in termini di valore e di deterrenti, proprio sfruttando i predetti meccanismi, fino a risultare antieconomica per l’eventuale interessato, nel momento in cui siano presenti in azienda misure di protezione e prevenzione (fisiche, logiche ed organizzative) efficaci e difficili da eludere, nonchè colleghi, superiori e consulenti esterni che provvedono al controllo o svolgono il medesimo lavoro, in grado di subdorare o individuare atti criminosi o comportamenti scorretti; trattasi di circostanze tali da rendere comunque particolarmente rischiosa qualsiasi attività surrettizia volta al danneggiamento dell’azienda o alla sottrazione di dati riservati in favore di terzi e, quindi, sufficienti a spingere il dipendente infedele, quantomeno, a chiedere cifre elevate all’eventuale corruttore, che renderebbero antieconomica l’iniziativa.

Ancora una volta, pertanto, si può concludere per la necessità di seguire meno le mode e le notizie enfatizzate dai media, per procedere ad un riequilibrio dell’attività aziendale nel settore della sicurezza informatica che redistribuisca le risorse in funzione dei rischi effettivamente esistenti.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *