Della sicurezza se ne parla tanto, ma a livello pratico si fa ancora troppo poco. Parola di hacker. Le opinioni di Raoul Chiesa, membro del Clusit, ci conducono nel mondo reale, fatto di aziende che spesso non conoscono chi accede al proprio sistema informativo.
Il caso delle Poste Italiane, messe in ginocchio a causa del virus Sq Hell, che ha reso inoperativi 14mila sportelli in tutta Italia, ha scosso a inizio anno la comunità It. Un attacco violentissimo che ha fatto muovere Bill Gates in persona, fornitore del software principalmente colpito, Sql Server, il quale si è affrettato a rincuorare utenti e system integrator circa la reale tenuta del proprio prodotto. Accidente o sintomo di scarsa attenzione per tutto ciò che riguarda la sicurezza informatica? "Corsa all’illusione", commenta Raoul Chiesa, technical officer di Mediaservice.net, fra i fondatori del Clusit, l’Associazione Italiana per la Sicurezza Informatica e con un noto passato di hacker alle spalle, definendo, con una dose di scetticismo l’atteggiamento delle aziende italiane nei confronti della sicurezza It. "La parola magica nel 2000 – spiega Chiesa – era firewall, nel 2001 è stata Intrusion detection e per il 2003 sarà Distributed intrusion detection system (Dids). Come ama ricordare Bruce Scheiner, security researcher e guru della sicurezza informatica, la sicurezza non è un prodotto, è un percorso aziendale".
E invece cosa accade nella pratica? "Invece l’errore che le aziende italiane commettono consiste proprio nel vedere il firewall come una panacea, la soluzione a qualunque tipologia di problema". È finita, o così dovrebbe essere, l’epoca del tecnico detentore esclusivo della conoscenza. La sicurezza informatica diventa un fattore collettivo, trasversale a ogni funzione aziendale, basti solo pensare al danno per un allegato mail infetto, aperto per caso.
Se è vero che il panorama italiano è ancora poco ricettivo, è anche vero che qualche progresso è stato comunque fatto. "All’inizio le aziende più sensibili all’argomento Ict security appartenevano ai settori della farmaceutica, petrolchimica, finanza, e al circolo delle multinazionali, quali utilizzatrici principali delle reti di comunicazione di quel periodo, che erano più costose complessivamente, oltre che meno potenti di oggi. Ora, anche se sono ancora i grossi gruppi a investire in sicurezza informatica, formazione e aggiornamento, le Pmi hanno iniziato a utilizzare effettivamente Internet per funzionalità più complesse. I servizi online integrati iniziano a prendere piede e, di conseguenza, la necessità di sicurezza ha iniziato a farsi sentire. Oggi le piccole e medie imprese sono passate dalla connessione a Internet con un modem alla linea dedicata xDsl, il che significa la messa in produzione di router e, sempre più spesso, di sistemi firewall, ovviamente di bassa e media fascia. Gli antivirus oggi sono utilizzati da tutto il personale. Esiste, insomma, sicuramente più di pochi anni fa, quel sostrato culturale che può essere una buona base di partenza".
Le fondamenta ci sono
E a proposito di base di partenza, i livelli standard per la sicurezza anche informatica esistono già. "La legislazione sulla privacy – continua Chiesa – la famosa 675 e il Dpr 318, che distinguono la tipologia di rete dati esistente nelle aziende, obbligano a cautelarsi con misure minime di sicurezza. Dal lato tecnico, diciamo che laddove è presente una connessione dedicata e continua alla Rete, è buona norma quantomeno mascherare gli indirizzi degli host interni, con la tecnica chiamata Ip Masquerading, senza dover arrivare per forza al firewall. Un buon router effettua questa funzionalità senza alcun problema. Sempre aziendalmente parlando, poi, si deve adottare una policy nella gestione delle password, delle autorizzazioni, dei permessi di accesso ai file da parte degli utenti della rete, ed effettuare verifiche periodiche del proprio livello di sicurezza verso il mondo esterno all’azienda. Esiste, poi, una serie di best pratice, internazionali o dettate dal buon senso, per le varie tipologie di tecnologie: dal wireless al Voice over Ip, passando per tutto ciò che il mercato ci sta offrendo".
La prima cosa da fare è certamente analizzare i punti di contatto verso l’esterno. "Tutti i collegamenti – spiega Chiesa – alle varie infrastrutture pubbliche come Internet, la rete telefonica, le relazioni con personale esterno all’azienda, possono essere strade di accesso non autorizzato ai beni aziendali, come informazioni, dati, cifre, file. Per questi motivi uno dei servizi che più vengono richiesti è il penetration test, o security probe. Consiste nell’esecuzione di attacchi verso i sistemi target, utilizzando tecniche di attacco e abuso reali, al fine di verificare il security status dell’infrastruttura informatica sotto esame. Controlli di questo tipo vengono richiesti periodicamente: un po’ come un controllo medico ogni tre mesi, per capire se e dove c’è bisogno di intervenire". Quello che, insomma, viene definito ethical hacking. E chi, meglio di un hacker, può dirsi esperto di sicurezza? "Non siamo rivenditori di alcun brand – continua Chiesa, con il cappello di chi è anche fondatore di Blackhats. it, comunità di esperti in security e appassionati ricercatori – e crediamo nella sicurezza come processo aziendale. In secondo luogo, lavoriamo molto sul lato prevenzione e utilizziamo la nostra esperienza di hacker per le operazioni di verifica verso i sistemi informatici dei nostri clienti. Ci dedichiamo alla ricerca e allo sviluppo continuo nelle nuove tecnologie del nostro settore".
Aggiornamento fondamentale, dato che l’attività dell’hacker cosiddetto "malicious" (e non è il caso di Chiesa) è vivace e abile nel superare le difese informatiche. Tanto da spingere anche il settore assicurativo a occuparsi del problema offrendo polizze ad hoc, le cosiddette "digital risk", che pare siano sempre più richieste dal mercato.
Insomma, sicurezza in ogni senso, ma soprattutto necessità di sensibilizzare il pubblico attraverso un’azione di informazione costante sui rischi di un sistema poco protetto, sia sul versante azienda, sia sul lato dell’utente.
