Negli ultimi tempi il tema security ha coinvolto ogni azienda. Per mettere al riparo i sistemi informativi da incidenti e “attentati”, le piccole e medie imprese hanno a disposizione una gamma di soluzioni che coinvolge software, hardware e policy aziendali.
Secondo i fornitori specializzati in sicurezza, la minaccia di virus è sempre presente in quanto, nonostante le misure prese, le imprese non sono mai abbastanza protette. Per certi analisti il male è, invece, altrove. Da un’inchiesta condotta negli Stati Uniti, su 540 imprese è emerso che il furto di un brevetto o l’appropriazione indebita di denaro sono costati molto più cari dei 409,6 milioni di euro di perdite subite a causa della cybercriminalità.
L’Europa dal canto suo pone l’accento su Internet: 870 società hanno stimato che il 50% degli incidenti è dovuto a negligenza o distrazione dei dipendenti, rischio di cui bisogna tenere conto a maggior ragione oggi, vista l’apertura a chiunque della posta elettronica o dell’aumentato utilizzo del Web, grazie alle connessioni a banda larga (Adsl).
Quando è in gioco la sicurezza informatica, le imprese finiscono sempre per essere perdenti. La prevenzione contro il dolo di origine interna o esterna implica spese che sono proporzionali al sistema di protezione impiegato. L’assenza di questo può comportare danni tali da mettere in pericolo l’apparato di produzione. Il costo per rimediarvi, d’altro canto, si rivelerebbe oltremodo consistente. Tra questi due approcci, le aziende italiane sembra abbiano optato per il fatalismo. A fronte di una riduzione del budget informatico, le restrizioni si esercitano, infatti, anzitutto sulla spesa per la sicurezza, che viene considerata come un accessorio. D’altra parte, esiste un certo numero di utility freeware e shareware per proteggere il sistema informativo e le sue porzioni vitali. A queste, disponibili gratuitamente, si aggiungono le security appliance, semplici da implementare e adatte ai piccoli budget.
Azioni preventive e reattive
Per potersi permettere un grado di protezione adeguato, le Pmi tendono ad attingere risorse al proprio interno. Capita che direttore dei sistemi informativi, responsabile della produzione e ingegnere di rete siano spesso la stessa persona. Quando è la direzione generale a gestire direttamente il sistema informativo, la sicurezza è sottostimata e la gestione delegata a semplici operatori.
Una politica ideale, invece, prevede la messa in opera di azioni preventive e reattive. Il controllo del flusso sul sistema informativo illustra l’interazione tra questi due tipi di misure. Ma senza un controllo minuzioso a posteriori, volto a scoprire eventuali intrusioni, la sorveglianza è inutile.
In mancanza della possibilità di effettuare questa verifica, la responsabilità della sicurezza impone agli utenti regole rigorose in materia di creazione di password. Così è bandito l’uso di nomi propri o comuni e viene imposta una scelta non sequenziale alternata tra lettere maiuscole e minuscole di una lunghezza soddisfacente. Una password alfanumerica di otto caratteri resiste molto meglio a una violazione, mentre è sufficiente qualche ora a un hacker esperto per indovinare una sequenza di sette caratteri in minuscolo. In tale contesto, il responsabile della sicurezza può contare su software a chiave pubblica, come per esempio Npasswd, Passwd+ o CrackLib. In alternativa, dovrà imporre una lunghezza minima o interdire modifiche di password predeterminate attraverso comandi di sistema. Si può, in tale modo, fare ricorso a utility di autenticazione più efficaci. Le password Otp (One time password) a uso unico, rientrano in questa categoria e rappresentano un prodotto alla portata di tutte le piccole società. Infatti, un semplice software publik key come Skey 8 (che gira sotto Unix) è in grado di generare password di sessione e di controllarne la validità al momento dell’accesso. Un pirata che riesce a intercettare questa chiave non sarà molto avvantaggiato, poiché quando riuscirà nel suo intento, la chiave sarà già superata. Questa procedura di identificazione resta, tuttavia, costrittiva, in quanto impone continuamente all’utente di fare il pieno di Otp sul sistema d’accesso. Oltre a ciò, i pirati che dispongono di una traccia dell’ultima sessione e di un dischetto trafugato contenente le Otp, possono infierire sul sistema informativo. Per rinforzare l’autenticazione, alcuni amministratori della sicurezza di rete forniscono una sorta di calcolatrice elettronica tascabile che offre un codice d’accesso a intervalli di tempo regolari. L’utente lo trasmette al server di autenticazione che, una volta ricevuto il segnale, confronta il codice con quello calcolato da un orologio sincronizzato con la calcolatrice.
Inoltre, il lavoro di rafforzamento delle password si accompagna alla separazione delle applicazioni sensibili e dei dati. L’impiego di firewall permette questa divisione affinata in funzione del tipo di applicazione o di software. Diversi freeware o shareware, come Zone Alarm o Look n Stop, si prestano a un tale filtraggio. Queste utility sono destinate a rendere sicura una rete o una postazione client aperta su Internet. Nonostante la protezione non sia assoluta, serve a scoraggiare gli hacker. Il firewall determina così la connessione di eventuali Trojan installati sulla postazione di lavoro, che (come BackOrifice, Netbus o Sub) possono aprire le porte della postazione di lavoro senza che l’utente locale se ne accorga.
Un firewall blocca sia la connessione di questi software clandestini, sia le porte Tcp aperte da Windows o da certi software utilizzati da Trojan per trasmettere informazioni in modo subdolo. La protezione, tuttavia, vale solo se il firewall è ben configurato e se è accompagnato da misure dettate dal buon senso, come l’inibizione di software di messaggistica in tempo reale di tipo Irc o del download di file eseguibili.
I software a soccorso
L’installazione di un firewall non prevede un controllo a posteriori per scoprire i virus che sono riusciti a superare le maglie della rete, a cominciare dai Trojan. Fortunatamente, esistono diversi antidoti per trovare eventuali intrusi come, per esempio Netbuster, che inibisce l’intrusione del software client Netbus. Anche se un buon numero di software antivirus è disponibile gratuitamente, l’immunizzazione del sistema informativo non è ancora radicale. Per essere efficaci, gli editori di antivirus devono costantemente aggiornare i prodotti. Una volta trovato l’antidoto, il responsabile dei sistemi informativi deve rigorosamente aggiornare il database di firme associate al software antivirus. Anche se sembra impossibile, un anno dopo l’emergenza "ILoveYou", questo virus miete ancora vittime presso le Pmi.
I sistemi emergenti
Le security appliance stanno facendo la loro comparsa nell’ambito della sicurezza. All’interno di uno stesso dispositivo, racchiudono funzioni complesse di firewall e di gestione delle Vpn. Si tratta di dispositivi, preconfigurati dall’integratore, che si possono trovare in commercio a un prezzo medio di 1.000 euro.
Tanta preoccupazione per il comfort dei clienti ha lo scopo di sedurre la piccola e media impresa che può trovare allettante un’offerta di questo tipo. Infatti, a una certa tipologia di azienda interessa poco che l’equipaggiamento sia ermetico; importa, invece, che svolga la propria funzione senza doverci lavorare troppo e senza richiedere aggiornamento.
Le funzioni di router, di firewall e di Vpn coabitano all’interno di uno steso chassis, con qualità di modularità e capacità di evoluzione adatte alle necessità degli utenti che non hanno conoscenze specifiche nel campo. Questi dispositivi richiedono, infatti, uno sforzo minimo di installazione e configurazione. Inoltre, si adattano ai modem Adsl, al fine di soddisfare la connessione Internet a banda larga in piccole aziende. Per garantire la confidenzialità dei dati sulla Rete, vengono implementate funzioni di cifratura classica come il Des (Data encryption system) o, addirittura, procedure per forare i tunnel Vpn. Le funzioni di firewall integrate nelle security appliance permettono di ottenere un primo livello di protezione Nat (Network address translation). Qualche prodotto consente un filtraggio selettivo sulle porte e indirizzi specifici in funzione di un profilo utente predeterminato. Questa nuova opportunità interessa le grosse aziende in cerca di diversificazione come Cisco, ma anche Allied Telesyn, attiva nel settore delle security appliance con il suo router Ar 320 che, oltre alla predisposizione per il routine dei pacchetti di dati e delle comunicazioni telefoniche, possiede un firewall proprietario. Il dispositivo permette, inoltre, la creazione di reti private virtuali secondo la procedura L2tp (Layer 2 tunnelling protocol). Parallelamente, altri attori, come Lightning, Netopia o Ramp Networks, si sono affacciati sul mercato delle security appliance. Di origine svizzera, il primo ha un’esperienza nelle security appliance acquisita attraverso la gamma di router MultiCom Ethernet, strumenti che si basano su un commutatore Fast Ethernet dotato di quattro porte 10/100 Mbps che permette un accesso a larga banda mediante un modem Adsl o un cavo Tv. Inoltre, il MultiCom Ethernet III dispone di una porta 10/100 addizionale, che consente la segmentazione della rete in zone pubbliche e private protette dai tentativi di intrusione grazie al firewall integrato. Esso si basa, poi, sul kernel Linux 2.4 e si fa carico delle funzioni Nat e Pat (Port and address translation). A ciò si aggiunge una funzione di traffic shaping per l’assegnazione della banda passante.
Il dispositivo di Netopia mostra lo stesso profilo funzionale del MultiCom Ethernet III. Basato su un router Ethernet a quattro porte, possiede un firewall che dispone di otto set di filtri per interdire il traffico in entrata o ridurre l’overhead correlato al protocollo di rete NetBios. Il filtraggio dei pacchetti si allinea su un profilo di connessione configurabile dell’indirizzo Ip in funzione del protocollo. Inoltre, le feature di Vpn seguono gli standard IpSec.
La gamma di security appliance Webramp di Ramp Networks, infine, dimostra capacità di filtraggio che, al fine di interdire le connessione ai siti Web, arrivano fino all’Url. La partnership con Check Point Software aggiunge alle unità di accesso xDsl Webramp la tecnologia Stateful Inspection inclusa nel software Firewall-1 e l’architettura Secure Virtual Network implementata all’interno della soluzione Vpn-1. Questa collaborazione ha coinvolto Pgp Security (Network Associates), che dispone di firewall di fascia bassa, a cominciare da Pgp 5 e-appliance, limitato a cinque nodi e cinque canali Vpn.
I classici vendor di hardware, invece, penetrano nel mercato degli equipaggiamenti di sicurezza con semplici server. Così Bull dispone di un dispositivo di sicurezza di tipo Vpn, chiamato Trust Way Vpn Appliance. Allo stesso modo, Netasq propone una gamma di firewall basata su processori Intel e sul sistema di gestione Free Bsd Unix; il modello entry level F-10 è destinato alle Pmi da 20 a 100 utenti. Nonostante il basso profilo, questo prodotto è dotato di due porte 10BaseT.
Il problema dei pagamenti
Carenza di sicurezza, ambiguità sulle responsabilità e modalità di utilizzo complesse. Sono questi i principali fattori che ostacolano le transazioni elettroniche. I sistemi di pagamento elettronico non hanno convinto le banche, che preferiscono investire nell’adozione di carte a microchip. Malgrado le promesse, i sistemi di micropagamento, come iPin o Enition, devono ancora dare prova di quanto siano realmente capaci di fare. Nell’attesa, lo strumento preferito dagli istituti di credito è il sistema di protezione Ssl (Secure socket layer) che è poi la modalità di pagamento più utilizzata.
Una Pmi che decide di iniziare un’attività di commercio elettronico non ha alcun interesse a modificare la propria modalità di riscossione dei crediti. In un primo tempo, può essere sufficiente una raccolta di numeri di carte di credito via Ssl. Quando il numero di ordini online si fa più consistente, per diminuire i costi di transa-
zione si rende necessario l’outsourcing. I sistemi di micropagamento semplificano il concetto di regola virtuale, ma pongono limiti per quanto concerne la sicurezza, in quanto si basano su una semplice identificazione e contano su una protezione implicita collegata all’esiguo ammontare della transazione. La cifratura, comunque, predomina ed è presente di default nei browser Netscape ed Explorer. L’Ssl, tuttavia, non preserva da tutti i rischi di frode. Per premunirsi contro le pratiche fraudolente, le Pmi possono puntare sulla carta a microchip basata sul protocollo Set (Secure electronic transaction), che assicura l’identità dell’acquirente e si basa sulla fornitura di un certificato numerico che autentica le parti implicate nella transazione. Dopo lunghe esitazioni, sono apparsi sul mercato anche i primi lettori di schede a microchip Cyber Comm in linea con Set, che offrono lo stesso livello di sicurezza dei terminali installati presso i commercianti. Tuttavia, il prezzo elevato sta frenando la diffusione presso il grande pubblico e nessuna industria ha, per il momento, l’intenzione di investire.
