ACN ha recentemente pubblicato le Linee Guida per la conservazione delle password, i Codici di autenticazione dei messaggi, e le funzioni di Hash realizzate insieme al Garante per la protezione dei dati personali.
Linee Guida per la conservazione delle password è solo la prima di una serie di pubblicazioni tecniche che servono a proteggere il cyberspace in cui tutti ci muoviamo. La pubblicazione di ACN non riguarda il modo in cui una password personale debba essere generata per mettere al sicuro, ad esempio, il nostro account social, ma il modo in cui il fornitore del servizio a cui si accede deve proteggere la password per accedervi.
Operazione fondamentale, visto che negli ultimi anni abbiamo assistito alle violazioni di queste database di password che hanno suscitato scalpore e preoccupazione. Si pensi alla ripetuta violazione dei database dei principali social network, fornitori di caselle di posta elettronica e servizi di e-commerce, e alla successiva compilazione delle credenziali trafugate in enormi magazzini virtuali messi in vendita nei Dark market al miglior offerente, oppure con il semplice scopo di causare un danno reputazionale alle aziende ed entità coinvolte.
Si stima infatti che nei forum underground ci siano diversi trilioni di credenziali in vendita e che il costo medio globale di una violazione dei dati nel 2023 sia stato di circa 4,5 milioni di dollari, con un aumento del 15% nel corso di 3 anni. Motivo per cui molte organizzazioni prevedono di aumentare gli investimenti per la sicurezza a seguito di una violazione. Dal 2020, ad esempio, i costi delle violazioni dei dati sanitari sono aumentati del 50% e il settore sanitario, in particolare, ha visto un aumento considerevole dei costi di violazione dei dati a partire dal 2020.
Obbiettivi delle linee guida
L’obiettivo di queste Linee Guida è perciò quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate all’interno dei database in cui sono contenute e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.
La conservazione sicura delle password, infatti è uno degli aspetti tecnici fondamentali nell’ambito della cybersecurity e della protezione dei dati personali che sono il nostro lasciapassare nel mondo digitale.
Il lavoro svolto col Garante Privacy sulla conservazione sicura delle password, però è solo uno dei modi in cui l’ACN è intervenuta per costruire un ambiente digitale più sicuro. Sull’esempio di altre realtà internazionali, la Divisione Scrutinio Tecnologico, Crittografia e Nuove Tecnologie, all’interno del Servizio di Certificazione e Vigilanza dell’Agenzia, guidato dall’Ammiraglio Andrea Billet, ha deciso di avviare la pubblicazione della serie “Linee Guida Funzioni Crittografiche”, che rappresentano le principali funzioni (primitive) crittografiche sia da un punto di vista teorico, che pratico.
Tra queste ci sono le “funzioni di hash crittografiche”, strumenti fondamentali per la cybersicurezza poiché, grazie alle loro proprietà, rendono possibile assicurare l’integrità dei dati, cioè consentono di verificare l’alterazione di un dato o un messaggio; e i “codici di autenticazione del messaggio” o MAC, che permettono di garantire l’integrità di un messaggio, e di verificare l’identità del mittente.
Queste linee guida, tutte insieme, forniscono delle indicazioni precise per l’impiego degli algoritmi crittografici lungo l’intero ciclo di vita dei sistemi e servizi ICT, in conformità con i principi di sicurezza e tutela della privacy. In ogni documento, l’ultimo capitolo contiene le conclusioni tratte in seguito alla dissertazione svolta e la lista degli algoritmi e dei parametri raccomandati da ACN.
I documenti tengono in considerazione le minacce presenti al giorno della loro pubblicazione, e verranno tempestivamente aggiornate in base agli sviluppi di ricerca in termini di crittografia e cybersicurezza. Data la diversità tra i sistemi informativi a cui si applicano e la varietà di contesti possibili, ACN non può garantire che queste raccomandazioni possano essere utilizzate nei sistemi informativi di destinazione senza adattamento. In qualsiasi caso, la pertinenza dell'attuazione delle soluzioni proposte da ACN deve essere sottoposta, preventivamente, a valutazione e validazione da parte dei responsabili della sicurezza dei sistemi informativi.
La realizzazione di questi documenti rientra proprio tra le funzioni attribuite all’Agenzia per la Cybersicurezza Nazionale per la prima volta sancita dalla legislazione italiana (dal DL 82/2021,). Per cui l’ACN è promotrice dell’utilizzo della crittografia come strumento di cybersicurezza, in attuazione della misura #22 della Strategia Nazionale di Cybersicurezza.