Negli ultimi tempi il tema security ha coinvolto ogni azienda. Per mettere al riparo i sistemi informativi da incidenti e “attentati”, le piccole e medie imprese hanno a disposizione una gamma di soluzioni che coinvolge software, hardware e policy aziendali.
Secondo i fornitori specializzati in sicurezza, la minaccia di virus è sempre presente in quanto, nonostante le misure prese, le imprese non sono mai abbastanza protette. Per certi analisti il male è, invece, altrove. Da uninchiesta condotta negli Stati Uniti, su 540 imprese è emerso che il furto di un brevetto o lappropriazione indebita di denaro sono costati molto più cari dei 409,6 milioni di euro di perdite subite a causa della cybercriminalità.
LEuropa dal canto suo pone laccento su Internet: 870 società hanno stimato che il 50% degli incidenti è dovuto a negligenza o distrazione dei dipendenti, rischio di cui bisogna tenere conto a maggior ragione oggi, vista lapertura a chiunque della posta elettronica o dellaumentato utilizzo del Web, grazie alle connessioni a banda larga (Adsl).
Quando è in gioco la sicurezza informatica, le imprese finiscono sempre per essere perdenti. La prevenzione contro il dolo di origine interna o esterna implica spese che sono proporzionali al sistema di protezione impiegato. Lassenza di questo può comportare danni tali da mettere in pericolo lapparato di produzione. Il costo per rimediarvi, daltro canto, si rivelerebbe oltremodo consistente. Tra questi due approcci, le aziende italiane sembra abbiano optato per il fatalismo. A fronte di una riduzione del budget informatico, le restrizioni si esercitano, infatti, anzitutto sulla spesa per la sicurezza, che viene considerata come un accessorio. Daltra parte, esiste un certo numero di utility freeware e shareware per proteggere il sistema informativo e le sue porzioni vitali. A queste, disponibili gratuitamente, si aggiungono le security appliance, semplici da implementare e adatte ai piccoli budget.
Azioni preventive e reattive
Per potersi permettere un grado di protezione adeguato, le Pmi tendono ad attingere risorse al proprio interno. Capita che direttore dei sistemi informativi, responsabile della produzione e ingegnere di rete siano spesso la stessa persona. Quando è la direzione generale a gestire direttamente il sistema informativo, la sicurezza è sottostimata e la gestione delegata a semplici operatori.
Una politica ideale, invece, prevede la messa in opera di azioni preventive e reattive. Il controllo del flusso sul sistema informativo illustra linterazione tra questi due tipi di misure. Ma senza un controllo minuzioso a posteriori, volto a scoprire eventuali intrusioni, la sorveglianza è inutile.
In mancanza della possibilità di effettuare questa verifica, la responsabilità della sicurezza impone agli utenti regole rigorose in materia di creazione di password. Così è bandito luso di nomi propri o comuni e viene imposta una scelta non sequenziale alternata tra lettere maiuscole e minuscole di una lunghezza soddisfacente. Una password alfanumerica di otto caratteri resiste molto meglio a una violazione, mentre è sufficiente qualche ora a un hacker esperto per indovinare una sequenza di sette caratteri in minuscolo. In tale contesto, il responsabile della sicurezza può contare su software a chiave pubblica, come per esempio Npasswd, Passwd+ o CrackLib. In alternativa, dovrà imporre una lunghezza minima o interdire modifiche di password predeterminate attraverso comandi di sistema. Si può, in tale modo, fare ricorso a utility di autenticazione più efficaci. Le password Otp (One time password) a uso unico, rientrano in questa categoria e rappresentano un prodotto alla portata di tutte le piccole società. Infatti, un semplice software publik key come Skey 8 (che gira sotto Unix) è in grado di generare password di sessione e di controllarne la validità al momento dellaccesso. Un pirata che riesce a intercettare questa chiave non sarà molto avvantaggiato, poiché quando riuscirà nel suo intento, la chiave sarà già superata. Questa procedura di identificazione resta, tuttavia, costrittiva, in quanto impone continuamente allutente di fare il pieno di Otp sul sistema daccesso. Oltre a ciò, i pirati che dispongono di una traccia dellultima sessione e di un dischetto trafugato contenente le Otp, possono infierire sul sistema informativo. Per rinforzare lautenticazione, alcuni amministratori della sicurezza di rete forniscono una sorta di calcolatrice elettronica tascabile che offre un codice daccesso a intervalli di tempo regolari. Lutente lo trasmette al server di autenticazione che, una volta ricevuto il segnale, confronta il codice con quello calcolato da un orologio sincronizzato con la calcolatrice.
Inoltre, il lavoro di rafforzamento delle password si accompagna alla separazione delle applicazioni sensibili e dei dati. Limpiego di firewall permette questa divisione affinata in funzione del tipo di applicazione o di software. Diversi freeware o shareware, come Zone Alarm o Look n Stop, si prestano a un tale filtraggio. Queste utility sono destinate a rendere sicura una rete o una postazione client aperta su Internet. Nonostante la protezione non sia assoluta, serve a scoraggiare gli hacker. Il firewall determina così la connessione di eventuali Trojan installati sulla postazione di lavoro, che (come BackOrifice, Netbus o Sub) possono aprire le porte della postazione di lavoro senza che lutente locale se ne accorga.
Un firewall blocca sia la connessione di questi software clandestini, sia le porte Tcp aperte da Windows o da certi software utilizzati da Trojan per trasmettere informazioni in modo subdolo. La protezione, tuttavia, vale solo se il firewall è ben configurato e se è accompagnato da misure dettate dal buon senso, come linibizione di software di messaggistica in tempo reale di tipo Irc o del download di file eseguibili.
I software a soccorso
Linstallazione di un firewall non prevede un controllo a posteriori per scoprire i virus che sono riusciti a superare le maglie della rete, a cominciare dai Trojan. Fortunatamente, esistono diversi antidoti per trovare eventuali intrusi come, per esempio Netbuster, che inibisce lintrusione del software client Netbus. Anche se un buon numero di software antivirus è disponibile gratuitamente, limmunizzazione del sistema informativo non è ancora radicale. Per essere efficaci, gli editori di antivirus devono costantemente aggiornare i prodotti. Una volta trovato lantidoto, il responsabile dei sistemi informativi deve rigorosamente aggiornare il database di firme associate al software antivirus. Anche se sembra impossibile, un anno dopo lemergenza "ILoveYou", questo virus miete ancora vittime presso le Pmi.
I sistemi emergenti
Le security appliance stanno facendo la loro comparsa nellambito della sicurezza. Allinterno di uno stesso dispositivo, racchiudono funzioni complesse di firewall e di gestione delle Vpn. Si tratta di dispositivi, preconfigurati dallintegratore, che si possono trovare in commercio a un prezzo medio di 1.000 euro.
Tanta preoccupazione per il comfort dei clienti ha lo scopo di sedurre la piccola e media impresa che può trovare allettante unofferta di questo tipo. Infatti, a una certa tipologia di azienda interessa poco che lequipaggiamento sia ermetico; importa, invece, che svolga la propria funzione senza doverci lavorare troppo e senza richiedere aggiornamento.
Le funzioni di router, di firewall e di Vpn coabitano allinterno di uno steso chassis, con qualità di modularità e capacità di evoluzione adatte alle necessità degli utenti che non hanno conoscenze specifiche nel campo. Questi dispositivi richiedono, infatti, uno sforzo minimo di installazione e configurazione. Inoltre, si adattano ai modem Adsl, al fine di soddisfare la connessione Internet a banda larga in piccole aziende. Per garantire la confidenzialità dei dati sulla Rete, vengono implementate funzioni di cifratura classica come il Des (Data encryption system) o, addirittura, procedure per forare i tunnel Vpn. Le funzioni di firewall integrate nelle security appliance permettono di ottenere un primo livello di protezione Nat (Network address translation). Qualche prodotto consente un filtraggio selettivo sulle porte e indirizzi specifici in funzione di un profilo utente predeterminato. Questa nuova opportunità interessa le grosse aziende in cerca di diversificazione come Cisco, ma anche Allied Telesyn, attiva nel settore delle security appliance con il suo router Ar 320 che, oltre alla predisposizione per il routine dei pacchetti di dati e delle comunicazioni telefoniche, possiede un firewall proprietario. Il dispositivo permette, inoltre, la creazione di reti private virtuali secondo la procedura L2tp (Layer 2 tunnelling protocol). Parallelamente, altri attori, come Lightning, Netopia o Ramp Networks, si sono affacciati sul mercato delle security appliance. Di origine svizzera, il primo ha unesperienza nelle security appliance acquisita attraverso la gamma di router MultiCom Ethernet, strumenti che si basano su un commutatore Fast Ethernet dotato di quattro porte 10/100 Mbps che permette un accesso a larga banda mediante un modem Adsl o un cavo Tv. Inoltre, il MultiCom Ethernet III dispone di una porta 10/100 addizionale, che consente la segmentazione della rete in zone pubbliche e private protette dai tentativi di intrusione grazie al firewall integrato. Esso si basa, poi, sul kernel Linux 2.4 e si fa carico delle funzioni Nat e Pat (Port and address translation). A ciò si aggiunge una funzione di traffic shaping per lassegnazione della banda passante.
Il dispositivo di Netopia mostra lo stesso profilo funzionale del MultiCom Ethernet III. Basato su un router Ethernet a quattro porte, possiede un firewall che dispone di otto set di filtri per interdire il traffico in entrata o ridurre loverhead correlato al protocollo di rete NetBios. Il filtraggio dei pacchetti si allinea su un profilo di connessione configurabile dellindirizzo Ip in funzione del protocollo. Inoltre, le feature di Vpn seguono gli standard IpSec.
La gamma di security appliance Webramp di Ramp Networks, infine, dimostra capacità di filtraggio che, al fine di interdire le connessione ai siti Web, arrivano fino allUrl. La partnership con Check Point Software aggiunge alle unità di accesso xDsl Webramp la tecnologia Stateful Inspection inclusa nel software Firewall-1 e larchitettura Secure Virtual Network implementata allinterno della soluzione Vpn-1. Questa collaborazione ha coinvolto Pgp Security (Network Associates), che dispone di firewall di fascia bassa, a cominciare da Pgp 5 e-appliance, limitato a cinque nodi e cinque canali Vpn.
I classici vendor di hardware, invece, penetrano nel mercato degli equipaggiamenti di sicurezza con semplici server. Così Bull dispone di un dispositivo di sicurezza di tipo Vpn, chiamato Trust Way Vpn Appliance. Allo stesso modo, Netasq propone una gamma di firewall basata su processori Intel e sul sistema di gestione Free Bsd Unix; il modello entry level F-10 è destinato alle Pmi da 20 a 100 utenti. Nonostante il basso profilo, questo prodotto è dotato di due porte 10BaseT.
Il problema dei pagamenti
Carenza di sicurezza, ambiguità sulle responsabilità e modalità di utilizzo complesse. Sono questi i principali fattori che ostacolano le transazioni elettroniche. I sistemi di pagamento elettronico non hanno convinto le banche, che preferiscono investire nelladozione di carte a microchip. Malgrado le promesse, i sistemi di micropagamento, come iPin o Enition, devono ancora dare prova di quanto siano realmente capaci di fare. Nellattesa, lo strumento preferito dagli istituti di credito è il sistema di protezione Ssl (Secure socket layer) che è poi la modalità di pagamento più utilizzata.
Una Pmi che decide di iniziare unattività di commercio elettronico non ha alcun interesse a modificare la propria modalità di riscossione dei crediti. In un primo tempo, può essere sufficiente una raccolta di numeri di carte di credito via Ssl. Quando il numero di ordini online si fa più consistente, per diminuire i costi di transa-
zione si rende necessario loutsourcing. I sistemi di micropagamento semplificano il concetto di regola virtuale, ma pongono limiti per quanto concerne la sicurezza, in quanto si basano su una semplice identificazione e contano su una protezione implicita collegata allesiguo ammontare della transazione. La cifratura, comunque, predomina ed è presente di default nei browser Netscape ed Explorer. LSsl, tuttavia, non preserva da tutti i rischi di frode. Per premunirsi contro le pratiche fraudolente, le Pmi possono puntare sulla carta a microchip basata sul protocollo Set (Secure electronic transaction), che assicura lidentità dellacquirente e si basa sulla fornitura di un certificato numerico che autentica le parti implicate nella transazione. Dopo lunghe esitazioni, sono apparsi sul mercato anche i primi lettori di schede a microchip Cyber Comm in linea con Set, che offrono lo stesso livello di sicurezza dei terminali installati presso i commercianti. Tuttavia, il prezzo elevato sta frenando la diffusione presso il grande pubblico e nessuna industria ha, per il momento, lintenzione di investire.