“un sistema è insicuro per il solo fatto di essere acceso e la sicurezza informatica non ha mai la pretesa di garantire l’inviolabilità”
I fattori di crescita ed evoluzione dell’ICT, con particolare riguardo allo sviluppo di reti di interconnessione tra i sistemi informativi, e la sua diffusione in uno spettro di applicazioni sempre più vasto impongono una rigorosa attenzione agli aspetti legati alla sicurezza.
L’obiettivo da perseguire è la salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati. I principali aspetti di protezione del dato sono la confidenzialità, l’integrità dei dati e la disponibilità.
Negli ultimi tempi si parla molto di sicurezza informatica , ma è solo una moda o davvero le cose stanno cambiando? Con Gigi Tagliapietra – Presidente del CLUSITabbiamo analizzato lo stato dell’arte.
Si parla molto di sicurezza informatica, ma qual è la reale situazione nel mondo ed in Italia?
C’è indubbiamente una maggiore attenzione alla sicurezza informatica a tutti i livelli, sia perché sempre di più la linfa vitale delle aziende passa attraverso i sistemi informativi, sia perché la diffusione del malware ha raggiunto ormai livelli tali per cui tutti ne vengono a contatto quasi quotidianamente.
La sicurezza dei sistemi informativi, la protezione delle infrastrutture di rete, la continuità operativa sono temi che hanno da tempo l’attenzione dei governi che considerano la rete telematica “infrastruttura critica nazionale” al pari delle strade, delle ferrovie, degli aeroporti.
Se in Italia è cresciuto come altrove il grado di attenzione a questi temi, non si sono ancora compiuti, a differenza di quanto avviene in altri paesi, i passi concreti necessari perché ci siano le risorse umane e finanziarie per questo compito così importante.
Di certo c’è una grande attenzione alla tutela dei minori, la polizia delle comunicazioni sta facendo un eccellente lavoro di contrasto della criminalità e della pedopornografia in particolare, ma occorre che si faccia alfabetizzazione diffusa a tutti i livelli e che si sviluppino servizi di risposta in caso di attacchi generalizzati.
Quali sono le novità e i trend emergenti?
Il trend più rilevante è certamente quello vede la crescita degli attacchi su larga scala basati sulle botnet, reti di computer compromessi sui quali sono stati installati all’insaputa del proprietario programmi che, sotto la guida di un sistema di controllo centrale, sferrano attacchi di denial of service verso specifici obiettivi.
In secondo luogo, non per la “novità” ma per la diffusione e per la gravità delle conseguenze, è l’estensione dei “furti di identità”, dovuti alla compromissione di sistemi che hanno memorizzato le credenziali di utenti ma che non sono stati adeguatamente protetti.
Infine, i recenti incidenti a livello internazionale tra Cina e Stati Uniti hanno riportato alla ribalta della cronaca un fatto che esiste da sempre: la tecnologia dell’informazione è sempre un terreno di guerre vere e proprie, non meno pericolose di quelle che da sempre le spie compiono nella clandestinità.
Il male si dice che corra più veloce del bene, le aziende devono rassegnarsi a essere sempre vulnerabili?
La vulnerabilità non è conseguenza della maggiore velocità del male rispetto al bene, la vulnerabilità dei sistemi informativi, come il nostro essere “mortali” è parte del gioco della vita. Per definizione un sistema è insicuro per il solo fatto di essere acceso e la sicurezza informatica non ha mai la pretesa di garantire l’inviolabilità di un sistema.
Il punto di vista deve essere quello che limita la probabilità dell’incidente, che prepara le risposte nel caso in cui accada, e che permetta il ripristino della normalità nel minor tempo possibile, esattamente come affrontiamo le calamità naturali.
Quanto è sicuro il codice open source?
Non esistono sistemi sicuri per definizione ed il codice open source non sfugge a questo principio. Anche se può sembrare un paradosso in un mondo che per lungo tempo ha sostenuto la security by obscurity, ovvero la sicurezza garantita dalla segretezza di molti dei suoi elementi, il fatto che il codice open source sia aperto all’accesso di molti, consente un maggiore controllo collettivo sulle sue modalità d’azione.
Si pensi al problema delle “backdoors” o di porzioni di codice di cui non si conosce l’esistenza per chi non ha accesso ai sorgenti.
La diffusione dell’open source non è solo la diffusione di software gratuito come erroneamente si crede, è soprattutto la condivisione di un approccio metodologico collaborativo che fa circolare l’informazione anziché nasconderla e questo è uno dei pilastri della sicurezza informatica del futuro.
Lo sviluppo di applicazioni mobile e di reti wireless sta complicando le cose in tema di sicurezza?
Indubbiamente. Non solo lo sviluppo delle applicazioni ma anche il solo crescere della dimensione della memoria delle chiavi USB o degli smartphone o dei player mp3 pone serie minacce alla sicurezza: interi database aziendali possono stare su in iPod o nella scheda SD di una macchina fotografica.
La mobilità vanifica uno degli aspetti “storici” della sicurezza che è il controllo fisico, a vista, dell’ambiente e dei sistemi; la diffusione delle connessioni wireless ha fatto esplodere il concetto di perimetro che fino a poco tempo fa si credeva fosse una specifica entità fisica e non un concetto logico nel disegno di un sistema informativo.
Le aziende non si fermano ai cancelli ma sono estese ai clienti, al personale che viaggia e si muove, ai fornitori che sono parte integrante della catena di erogazione dei servizi ed è grazie a questo flusso continuo che le aziende possono trovare nuovi e più efficaci modi per rendersi competitive.
Chi si occupa di sicurezza deve accettare questo nuovo terreno e sviluppare modalità innovative per tutelare un’azienda i cui confini non sono più tracciabili in modo preciso.
Come ci dobbiamo proteggere allora?
Sicuramente sviluppando la collaborazione a tutti i livelli, alimentando lo scambio di conoscenze all’interno dell’azienda e tra partner di fiducia e condividendo la maggiore quantità possibile di informazioni.
Coinvolgendo direttamente gli utilizzatori finali nella realizzazione di un sistema di protezione che faccia comprendere che siamo tutti vulnerabili e tutti possiamo essere veicoli di attacchi o vittime degli stessi.
La costruzione di comportamenti virtuosi che rendono più sicuri i sistemi aziendali passa attraverso una attenzione all’utilizzo che i collaboratori fanno dei sistemi anche nella sfera domestica: se riusciremo a far comprendere che la sicurezza non è solo una esigenza dell’impresa ma un atteggiamento costante che difende la rete partendo dalla sfera personale, avremo fatto un significativo passo nella giusta direzione.
Gigi Tagliapietra – è stato per trent’anni imprenditore nel settore delle tecnologie innovative fondando Siosistemi. Entrato nel gruppo BT, è stato il referente italiano della BT Security Practice. Dal 1978 si occupa professionalmente di reti di computer e di sicurezza informatica e ha realizzato importanti progetti di securizzazione per grandi aziende italiane e multinazionali. Dal gennaio 2005 è Presidente del CLUSIT (Associazione Italiana per la Sicurezza Informatica).
Collabora regolarmente con Nova, il supplemento tecnologico del Sole 24 Ore e svolge una intensa attività di divulgazione sui temi della sicurezza, della tecnologia, dell’impatto sociale dell’innovazione con conferenze, interviste e articoli.
