Il volume che non dovrebbe mai mancare nella libreria di un Dirigente e di un Amministratore? “L'arte dell'inganno”, del celebre hacker statunitense Kevin Mitnick, nel quale l'autore premette di non aver mai dovuto faticare troppo per ottenere informazioni, essendo stato spesso più semplice chiederle ai diretti interessati che acquisirle violando i sistemi informatici…
Nell'immaginario collettivo, il termine “hacker” evoca immediatamente - complici articoli di stampa e rappresentazioni cinematografiche, a partire da “Wargames” fino al più recente “Takeoff” - la figura del pirata informatico, capace di introdursi in qualsiasi sistema di elaborazione dati, violando, o semplicemente eludendo, le misure di sicurezza adottate dai suoi amministratori, con metodi spesso più romanzeschi che tecnicamente apprezzabili.
Nella realtà e nel linguaggio informatico, il termine hacker individua, al contrario, un esperto di sicurezza informatica restìo, come tutti i possessori di cervelli “fuori misura”, ad adeguarsi alle logiche preconfezionate e ai dogmi consolidati, agli orari da timbratura del cartellino, capace di lavorare alla realizzazione di un progetto anche per 36 ore ininterrottamente e di sparire per qualche giorno per riflettere e ragionare, che preferisce l'approccio empirico allo studio nozionistico e che ha competenze e capacità - matematiche e informatiche - decisamente superiori alla media.
Tutt'altro che giovane “sfigato” con evidenti problemi di relazione con l'altro sesso, che passa le giornate immergendosi nel ciberspazio per sfuggire alla vita di tutti i giorni.
L’hacker etico e il criminale informatico
L'ethical hacker opera secondo una sua logica e un suo codice d'onore, che presuppone l'uso della tecnologia per il miglioramento delle condizioni di vita del pianeta, lo sfruttamento sostenibile delle risorse disponibili e la libertà delle informazioni.
E' il miglior collaboratore che un'azienda possa avere, se questa riesce ad affascinarlo con incarichi complessi e nessun orario o vincolo tradizionale.
Tutt'altro anche rispetto al criminale informatico - o “malicious hacker” - che spesso utilizza gli strumenti realizzati dagli hacker per portare a termine i suoi delitti, dalla finalità prettamente economica, oggi perseguiti e puniti - non solo in Italia, ma in tutti i paesi tecnologicamente avanzati - alla stregua di veri e propri atti terroristici, nel momento in cui sono diretti verso impianti di pubblica utilità o strutture nevralgiche come ferrovie, ospedali e aeroporti, e duramente anche nell'ipotesi di violazione di sistemi e informazioni di natura privata, stante il rilievo ormai assunto dall'informatica e dalla telematica per l'economia di ogni nazione. Non un artista, in sostanza, ma un freddo calcolatore.
Nell'eterno confronto tra chi attacca un sistema e chi deve difenderlo, gli hacker entrano a pieno titolo - indirettamente o indirettamente - nella dinamica dello sviluppo di sistemi di sicurezza e di tecniche di intrusione, che poi saranno utilizzate nuovamente per mettere a punto le relative contromisure e, così via, ininterrottamente, in una spirale di crescita che miete certamente vittime, ma che consente la rapida evoluzione del settore della sicurezza informatica.
Team interno e strutture esterne
Mentre per professionisti e lavoratori autonomi non vi è possibilità di scelta rispetto alle misure di sicurezza da adottare, dovendo necessariamente fare affidamento su soggetti esterni o ricorrere a soluzioni pronte all'uso (con tutti i problemi legati alla lentezza degli aggiornamenti della sicurezza, ma anche con il vantaggio di non avere, probabilmente, dati particolarmente appetibili per i criminali informatici), per le aziende, la scelta di creare un team di informatici interno, attraverso il quale sviluppare soluzioni proprietarie, o di affidarsi a un'azienda esterna, può rivelarsi strategica non solo dal punto di vista economico.
Alcune realtà preferiscono un approccio misto, con il team interno che si dedica allo sviluppo della sicurezza e strutture esterne che periodicamente erogano il servizio di penetration test, simulando attacchi verso il sistema informativo aziendale dopo aver messo in sicurezza i dati.
Quest’ultima soluzione è probabilmente quella da preferire, rispetto all'internalizzazione o all'esternalizzazione, poiché ciascuna struttura controlla e valuta l'operato dell'altra, impedendo che l'azienda sia “ostaggio” dei consulenti esterni o dei dipendenti interni, che devono essere intercambiabili proprio al fine di garantire una maggiore sicurezza e, soprattutto, per evitare che la violazione del sistema avvenga per l'infedeltà di un operatore.
E' utile e interessante, per comprendere come dovrà evolvere il settore della sicurezza informatica e quali sono i principali rischi ai quali va incontro un sistema di elaborazione dati che contiene informazioni da proteggere, consultare l'Internet Crime Report che viene prodotto annualmente dal National White Collar Crime Center (NW3C) presso il Federal Bureau of Investigation statunitense e reperibile al seguente indirizzo: http://www.nw3c.org/
Non essendo ancora disponibile il rapporto relativo al 2014, i dati non sono aggiornatissimi. Ma rendono comunque l'idea di un progressivo aumento della sicurezza rispetto al passato
Come lavora il National White Collar Crime Center
La missione dell'Ente è quella di fornire formazione, supporto investigativo e di ricerca per le realtà coinvolte nella prevenzione, nell'accertamento e nel perseguimento dei reati connessi all'economia e alle tecnologie informatiche
Il NW3C non ha potere di indagine autonomo, ma aiuta le Forze dell'Ordine e la Magistratura a comprendere meglio gli eventi e a utilizzare gli strumenti necessari per combattere il cyber crime.
Per questo le sue sezioni sono fortemente specializzate: Criminalità informatica, Criminalità Economica, Investigazione, Analisi Forense ecc.
Ogni anno, gli esperti di sicurezza analizzano le denunce pervenute dagli utenti e le raggruppano per tipologie, per fornire ulteriori elementi di analisi e investigazione.
Sebbene dai dati degli ultimi cinque anni si possa dedurre una sostanziale riduzione dei crimini, ciò che desta preoccupazione sono le modalità con le quali i reati stanno cambiando e diventando più aggressivi.
Le principali situazioni denunciate dagli utenti riguardano, oggi, la violazione della riservatezza, attraverso l'analisi della navigazione su Internet o dei comportamenti adottati sui social network o nei circuiti di incontri per adulti.
Il criminale, dopo aver rilevato o deliberatamente provocato un comportamento imbarazzante della vittima (l'esempio tipico è quello della ragazza che si spoglia davanti alla webcam e invita l'interlocutore a fare altrettanto, registrando l'intera sessione) minaccia di divulgare i dati acquisiti e pretende un pagamento in denaro.
In ambito aziendale, gli schemi più diffusi sono quelli della cifratura dei dati presenti sul sistema di elaborazione della vittima e della periodica segnalazione a video di utilizzo di software privo di licenza d'uso o di frequentazione di siti Web con contenuti pedo-pornografici.
In entrambi i casi, l'effetto viene ottenuto attraverso l'azione di virus informatici che lo stesso utente scarica involontariamente dal Web e che possono essere rimossi solo dopo aver ricevuto (a pagamento, ovviamente) i codici di sblocco da parte del criminale che li ha messi in circolazione.
I versamenti vengono puntualmente indirizzati a un conto presente in un paradiso fiscale e non tracciabile.
Altre tipologie di reato sono descritte nelle diverse pagine del rapporto annuale, che merita comunque un approfondimento per i numerosi spunti di analisi dei sistemi informatici e delle relative misure di sicurezza che è in grado di suggerire.
Il dipendente infedele
Uno specifico richiamo è invece opportuno in relazione al rispetto dell'obbligo di formazione del personale sui rischi connessi all'uso di sistemi informatici e telematici, già previsto dalla disciplina italiana ed europea sul trattamento dei dati personali, ma stranamente non contenuto in alcuna altra norma che riguardi i sistemi pubblici e privati.
Le circostanze in cui maturano frodi e sottrazioni di dati riservati ai danni delle aziende confermano che l'anello debole della catena della sicurezza informatica è l'essere umano, da un lato per l'ingenuità di taluni comportamenti, dettata principalmente dall'inesperienza, dall'altro per l'infedeltà di cui può essere protagonista un qualsiasi dipendente o collaboratore ai danni del datore di lavoro.
Le denunce che riguardano la sottrazione di dati riservati o il danneggiamento di sistemi informatici sono sempre più spesso riferite a rapporti di lavoro o di collaborazione, anche professionale, durante i quali l'elemento fiduciario viene meno e l'azione criminale si sostanzia nella cessione dei dati a un concorrente o nel danneggiamento motivato dal sentimento di rivalsa.
In entrambi i casi, se non completamente esclusa, l'azione delittuosa può essere tuttavia fortemente prevenuta e resa inefficace con l'adozione di adeguate misure di sicurezza
L'analisi dei dati in transito sulla rete, la disattivazione o il controllo remoto delle porte di comunicazione attraverso le quali possono essere trasferite le informazioni su supporti esterni, adeguate politiche di cifratura, salvataggio e disaster recovery, così come una puntuale e rapida gestione delle credenziali e degli accessi, possono fortemente ridurre i rischi connessi alla sottrazione dei dati o al danneggiamento da parte di un dipendente infedele o di un collaboratore escluso dal gruppo di consulenti aziendali.
La formazione del personale dipendente, anche a costo di risultare ripetitiva e ossessiva, porta a una corretta gestione dei sistemi informatici e delle credenziali di accesso e riduce al minimo il rischio di sottrazione agevolata dal dipendente che lascia un visitatore solo nella stanza in cui è acceso un computer o addirittura annota nel classico post-it sul monitor User Id e Password.
Anche la formazione in tema di comunicazione aziendale e interpersonale è utile per far comprendere al dipendente che la sicurezza informatica è soprattutto una forma mentis da acquisire, poiché le informazioni riservate o le credenziali di accesso ai sistemi possono essere cedute a terzi involontariamente, ritenendo di comunicare telefonicamente o tramite e-mail con altra persona o trasmettendo tramite fax un documento importante al numero sbagliato.
Gianluca Pomante
Avvocato
Esperto di crimine informatico
