Dati sottochiave?

Se gli esperti informatici concordano sulla necessità di adottare sofisticate soluzioni software, gli esperti di sicurezza non si accontentano del fatto che il server venga isolato dalla rete elettrica e da quella di comunicazione. Il loro desiderio è che l’apparecchio venga posto sotto chiave.

Massimiliano Cassinelli
Ingegnere
Progettista Reti TLC

Sempre più spesso, quando si parla di sicurezza informatica, è inevitabile pensare agli hacker che, da qualche angolo remoto della Terra, cercano di carpire i segreti di un’azienda o di impedirle di operare.
Queste violazioni, però, non sono le uniche a suscitare apprensione. Un attacco può arrivare anche attraverso virus - nelle loro innumerevoli declinazioni - che, allegati a una banale mail di auguri natalizi, sono in grado di distruggere o sottrarre il patrimonio di informazioni su cui si basa il Business di qualunque realtà imprenditoriale.
In genere, comunque, buona parte dei rischi provenienti dall'esterno possono essere arginati con accorgimenti relativamente semplici.
Il principale e spesso sottovalutato pericolo, in molti casi, arriva invece dall'interno.
Può infatti essere causato da azioni di sabotaggio volontarie, da banali errori di utenti impreparati o da eventi atmosferici.

Protezioni inutili
Le aziende investono ingenti capitali nelle apparecchiature utilizzate per conservare ed elaborare i dati, dimenticando, però, che si tratta di macchine estremamente delicate, il cui funzionamento può essere ostacolato anche da eventi solo apparentemente straordinari.
I vapori corrosivi sviluppati da un piccolo incendio, la perdita di una condotta dell’acqua o la presenza di topi sono situazioni tutt'altro che improbabili e che fanno parte della storia di qualunque azienda, anche per una sola sfortunata serie di coincidenze.
Ma può bastare quella “sola volta” per mettere in crisi un’intera realtà, vanificando investimenti e anni lavoro.
In genere, quando si utilizza il termine “continuità operativa”, si pensa subito alle banche o alle finanziarie: esse, infatti, possono subire danni per decine di milioni a causa di pochi minuti di inattività.
Allo steso modo, alcune attività industriali non possono perdere il controllo del proprio processo nemmeno per pochi secondi.
Accanto a queste situazioni estreme, però, ogni piccola realtà dovrebbe porsi una semplice domanda: cosa accadrebbe se, improvvisamente, venisse a mancare l’intera anagrafica clienti o sparissero i progetti su cui si lavora?
Un dubbio che molte aziende sollevano, ma limitando le proprie risposte agli aspetti informatici, mentre non possono essere dimenticati i fattori ambientali e umani.

Il parere dell’esperto
Se gli esperti informatici concordano sulla necessità di adottare soluzioni software sempre più moderne e sofisticate, gli esperti di sicurezza non si accontentano del fatto che il computer (o meglio i server) sia semplicemente isolato dalla rete elettrica e da quella di comunicazione. Il loro desiderio è che l'apparecchio sia posto in una stanza chiusa a chiave.
Del resto, i principali valori di un'azienda, forse ancora più dei beni materiali e strumentali, sono, sempre più spesso, i dati.
Non per nulla, come ci raccontano recenti fatti di cronaca, dati e segreti industriali presenti sui sistemi informatici sono oggetto di attacchi cybercriminali anche particolarmente sofisticati.
Violazione che colpiscono l'immaginario collettivo e che suscitano una crescente sensazione di insicurezza.
In realtà, anche se è poco noto, il maggior numero di furti di informazioni, ma anche i danneggiamenti volontari e casuali, sono imputabili a dipendenti infedeli o a persone che svolgono un'attività criminali accedendo fisicamente al server su cui risiedono effettivamente i dati.
Simili eventi sono poco noti, in quanto è spesso difficile tracciarli, soprattutto se realizzati inserendo semplicemente una chiavetta Usb su cui registrare le informazioni caratterizzate da un certo livello di interesse.
Inoltre, soprattutto nelle Pmi, i furti prendono di mira direttamente le apparecchiature elettroniche, con l'obiettivo di impossessarsi tanto dall'hardware quanto delle informazione registrate al suo interno.
L'accesso fisico ai sistemi di memorizzazione, inoltre, avviene anche con l'obiettivo di cancellare o sottrarre immagini registrate, il cui utilizzo potrebbe essere compromettente.
Infine non possiamo dimenticare che, in molti casi, i dipendenti accedono ai data center o, più in generale, agli armadi, con l'obiettivo, sicuramente lodevole, di risolvere un problema riscontrato sulla rete aziendale.
Una buona volontà che, in molti casi, si rivela però controproducente, con il rischio di commettere errori devastanti, seppur animati dai migliori propositi.
Alla luce di queste situazioni - come spiega Giuseppe Leto, Product Manager della divisione IT di Rittal - è fondamentale impedire l'accesso delle persone non autorizzate alle apparecchiature elettroniche, sia quando sono installate nei data center, sia quando si trovano nei rack di piano”.

Quanto vale?
L'obiettivo di regolamentare l'accesso alle apparecchiature informatiche può essere gestito, in modo efficace, attraverso le più svariate tecnologie di sicurezza.
L'offerta di mercato, però, non sempre aiuta a compiere le scelte adeguate.
Scelte che, in ogni caso, devono basarsi sul valore dell'informazione e dell'apparecchiatura proteggere.
Un valore che non può essere espresso in termini assoluti, ma dipende dalla realtà di ogni singola azienda.
Senza dimenticare che ogni investimento è subordinato, necessariamente, alla consapevolezza del management nei confronti dei rischi.
Le situazioni, in effetti, possono essere le più svariate e ogni singolo caso richiede la necessaria competenza professionale.
Semplificando, infatti, il database clienti può essere strategico per un'azienda che non dispone di un efficace sistema di backup a fronte di un elenco di nomi e riferimenti difficilmente ricostruibile.
Ben minore, invece, è il valore del database nel caso di un'attività Business to Business, dove i clienti sono pochi, ben noti e facilmente recuperabili.
Allo stesso modo le immagini riprese da un sistema di videosorveglianza a circuito chiuso, installato in un motel, potrebbero avere un valore significativo per chi è intenzionato a utilizzarle con l'obiettivo di ricattare le persone riprese.
Al contrario, le riprese effettuate all'interno di un istituto bancario hanno un valore esclusivamente per chi ha commesso una rapina e, ovviamente, vuole cancellare tutte le possibili tracce.
Anche se, tipicamente, non dispone del tempo necessario per intervenire su questi apparati.

La soluzione esiste già
Non possiamo comunque dimenticare, come spiega lo stesso Leto, che le singole aziende dispongono già di un proprio sistema di monitoraggio accessi e, per tale ragione, è spesso opportuno estenderlo direttamente alla protezione del data center o dei singoli armadi.
ipicamente, infatti, un sistema di controllo accessi può essere sfruttato anche per la protezione del locale in cui sono installate le apparecchiature elettroniche.
In questo modo è possibile regolamentare l'accesso all'intera area e, inoltre, tenere traccia di ogni singolo movimento.
Una simile modalità operativa è sicuramente efficace, ma non può essere considerata risolutiva, soprattutto quando il data center ospita apparecchiature di clienti differenti o, comunque, i tecnici abilitati devono accedere solo alle aree per le quali possiedono competenze specifiche. In questo caso, è opportuno dotare ogni singolo armadio di un proprio sistema di chiusura autonomo.
L'impiego di comuni serrature meccaniche, però, presenta i noti problemi connessi alla perdita o alla mancata riconsegna della chiave, che inoltre può essere duplicata, in modo indiscriminato, con un'elevata facilità.
Per tale ragione, le serrature tradizionali vengono progressivamente sostituite dai più efficaci sistemi di chiusura comandati elettronicamente, il cui sblocco può essere gestito dai normali badge, ma anche da sofisticati sistemi biometrici, in grado di riconoscere le caratteristiche peculiari di ogni singola persona, abilitandone così l'accesso ad una specifica area o apparecchiatura.
Un ulteriore vantaggio offerto dei sistemi di chiusura elettronica è legato al fatto che questi possono essere agevolmente collegati a un sistema di supervisione esterno.
In tal modo il responsabile della sicurezza o, genericamente, dei sistemi informativi di un'azienda, viene tempestivamente informato dell'apertura di una porta e del soggetto che sta effettuando una simile manovra.
In questo modo ha la certezza dell'identità e delle specifiche competenze di chi accede.
Inoltre l'intera attività, anche dal punto di vista delle tempistiche, viene tracciata, permettendo di risalire rapidamente all'identità di chi ha compiuto uno specifico intervento.
L'utilizzo di queste soluzioni, ovviamente, comporta un costo maggiore rispetto ai sistemi più datati, ma garantisce un livello di sicurezza particolarmente elevato, anche perché rappresenta un potente deterrente.
Un effetto ulteriormente potenziato dall'impiego di sistemi di videosorveglianza, in grado di attivarsi in presenza di specifici eventi, come l'apertura di una porta.
Leto, infine, ricorda che l'efficacia dei sistemi di controllo accessi a distanza può essere esaltata dall'integrazione con un sistema di supervisione, in grado di comunicare al responsabile dei sistemi informativi anche una serie di parametri fisici relativi all'ambiente interno di uno specifico rack.
Simili soluzioni, come il RiWatchIT di Rittal, stanno registrando un crescente successo.
Permettono, infatti, di comunicare - via mail o via sms - l'apertura di una specifica porta ma, allo stesso tempo, forniscono indicazioni tempestive sul superamento delle soglie di allarme, con l'ulteriore possibilità di supportare interventi di emergenza, anche da remoto, in tempi particolarmente rapidi.

Badge o biometria?
Utilizzo di serrature a controllo elettronico, quindi, consente di gestirne l'apertura e tracciare l'utente che vi accede.
In fase di pianificazione dell'investimento, però, è necessario scegliere se adottare una tecnologia di base o, al contrario, investire su soluzioni innovative, in grado di identificare con assoluta certezza l'utente.
Fanno ovviamente eccezione, in questa valutazione, i rack destinati ad ambienti pubblici, dotati di specifici accorgimenti di protezione.
Rittal, pur essendo il grado di fornire tutte le soluzioni, suggerisce infatti di valutare attentamente il proprio investimento, poiché non è sempre necessario adottare le tecnologie più costose.
Il primo obiettivo di un sistema di protezione, infatti, deve essere quello di creare un'adeguata barriera di protezione nell'area perimetrale dell'edificio e non direttamente a ridosso dei server.
Questo perché, in termini assoluti, se una persona vuole provocare un danno o rubare un'apparecchiatura, solitamente può forzare brutalmente la porta di un comune rack.
Gli armadi, infatti, non sono tipicamente ingegnerizzati per resistere a queste tipologie di attacchi.
Un'azione basata sulla “forza bruta”, però, non viene ovviamente compiuta da un dipendente infedele nei comuni orari di lavoro.
Per tale ragione, da un punto di vista pratico, anche un comune lettore di badge, collegato con l'impianto di supervisione, è sufficiente a proteggere adeguatamente gli apparati da intromissioni non autorizzate.
Ogni singola persona, infatti, viene abilitata ad aprire solo determinate elettroserrature.
In tutto, garantendo anche un elevato effetto deterrente, esaltato dalla presenza dei sistemi di videosorveglianza.
Senza dimenticare che una delle funzioni più importanti dei sistemi di controllo accessi, all'interno di un data center, rimane quella di evitare interventi sulle apparecchiature per le quali non si possiede l'autorizzazione o la qualifica necessarie.
Una limitazione che può essere adeguatamente garantita anche da sistemi relativamente economici.

Pubblica i tuoi commenti