Rapporto Clusit 2013: le declinazioni della sicurezza informatica

89

 

ITALIA – Milano. Editata l’edizione Clusit 2013, secondo della serie, dell’associazione italiana Clusit, che si occupa di sicurezza informatica, nata in seno al Dipartimento di Informatica dell’Università degli Studi di Milano nel 2000.

Il rapporto 2013 sulla sicurezza ICT in Italia fornisce approfondimenti su alcuni temi di attualità: Mobile Security, Social Media Security , Cloud Security, Sicurezza in Sanità ed E-Commerce (temi centrali anche dell’Agenda Digitale Italiana) ed utili spiegazioni sul Protocollo Ipv6.

MOBILE SECURITY

Quando si parla di Security non si può non prendere in considerazione la crisi economica che sta influenzando profondamente le realtà aziendali ed in particolar modo le proprie strategie di investimento.

Secondo le analisi e gli studi degli esperti, il 2012 è stato definito un “anno orribile” dal punto di vista della Mobile Security e si pensa che il 2013 possa essere peggiore. Con l’avvento e la diffusione di device mobili (smartphone, tablet, netbook ….) , con la conseguente introduzione di nuovi browser e, a fronte di una certa immobilità negli investimenti di protezione, dovuta al non proprio florido periodo economico, la crescita di malware nel corso del 2012 è stata esponenziale.

Inoltre, l’uso di “Smart Device” da parte del management ha forzato l’introduzione in azienda delle problematiche di mobile security.

In Italia, il campo delle soluzioni “Multivendor” è un terreno ancora tutto da esplorare e solo negli ultimi tempi il mercato ha iniziato ad offrire prodotti efficienti ed innovativi.

Nonostante ciò, il divario tra la superficie di attacco,intesa come l’insieme delle situazioni che posso generare rischi in termini di sicurezza e una presa di coscienza effettiva da parte dei gestori IT risulta sempre più profondo: le aziende mancano di visione tattico-strategica e non investono adeguatamente per ridurre l’esposizione ai rischi.

SOCIAL MEDIA SECURITY

I Social Media sono uno dei temi emergenti anche in ambito Security: i Social Network sono infatti intrinsecamente basati su un senso di fiducia tra i propri membri, i metodi di autenticazione sono carenti e l’identità degli utenti non è accertabile (né accertata).

Gli attacchi alle Reti sociali sono condotti tramite tecniche di social engineering e messaggi ingannevoli, che risultano difficilmente rilevabili da parte delle difese tradizionali e la diffusione di smart phone fa si che le connessioni ai Social Network avvengano anche tramite mobile, rendendo le solite difese inapplicabili.

Il 2012 è stato l’anno dell’affermazione globale dei Social Media,ma nonostante questa vertiginosa e prepotente affermazione,le reti sociali continuano ad essere utilizzate in modo superficiale e poco professionale da tutte le tipologie di utenti: dal politico al top manager, dalle agenzie di comunicazione ai media, dagli utenti finali alle imprese ed alle istituzioni. Indifferentemente, nessuno degli utenti sembra preoccuparsi delle possibili conseguenze in termini di sicurezza e perdita di dati personali,furti di identià, stalking, cyber bullismo,frodi di ogni genere, spionaggio industriale ed attacchi da parte di cyber organizzazioni criminali.

In Italia, la penetrazione dei Social Network in ambito aziendale è di circa il 50 %( con punte del 70% in Lombardia ed altre aree geografiche), ed è destinata ad aumentare vertiginosamente nel corso di quest’anno. È quindi di fondamentale importanza adottare determinate strategie ed efficienti strumenti, al fine di monitorare le conversazioni in tempo reale,studiare gli attacchi, formare continuamente il personale, prevenire minacce e gestire incidenti evitando cosi danni economici e di immagine. È necessario, affinchè vi sia realmente un’adeguata prevenzione e protezione in campo aziendale, implementare dei processi specifici di Social Business Security,proteggendo in questo modo gli asset informatici( infrastrutture, dati) e quelli immateriali ( reputazione,brand, proprietà intellettuale).

Sempre più diffuse sono le campagne di sensibilizzazione per gli utenti finali, è necessario infatti creare un giusto livello di consapevolezza soprattutto tra i giovanissimi, che sono e saranno i principali utenti dei Social Network.

CLOUD SECURITY

Durante il 2012 il fenomeno del cloud computing ha acquisito sempre più rilevanza in molti mercati del mondo.

Con il termine cloud computing (nuvola informatica) si indica un insieme di tecnologie che permettono,per lo più sotto forma di un servizio offerto da un provider ad un cliente,di memorizzare, archiviare e/o elaborare dati, grazie all’utilizzo di risorse hardware/software distribuite e visualizzate in Rete.

In Italia, il cloud è un argomento di assoluta centralità,in merito soprattutto alle opportunità e ai rischi della “nuvola informatica” nella Pubblica Amministrazione: punto essenziale dell’Agenda Digitale Italiana, che fa capo ad un’Agenzia Digitale ancora in fase di start-up.

L’Italia è un Paese fortemente in ritardo nel settore dell’innovazione e della tecnologia e solo definendo e realizzando strategie chiare e compiute che attuino l’Agenda Digitale e solo riuscendo a raggiungere quegli obiettivi che tanto sono richiesti da cittadini, imprese e Pubbliche Amministrazioni italiane, l’Italia potrà eliminare il ritardo accumulato nel tempo in un settore cosi determinante per la crescita del Paese.

Fuori dai confini nazionali, le possibili applicazioni del cloud computing hanno raggiunto livelli sempre più efficienti. Le due maggiori sfide in questo campo sono: il cloud nelle applicazioni militari ed il cloud per le infrastrutture critiche.

Inerente al tema delle applicazioni militari del cloud compunting, l’esercito americano è all’avanguardia. Il cloud offre infatti grandi vantaggi in termini di efficienza, risparmi e flessibilità, oltre all’insuperabile efficacia nel trattare le grandi moli di dati che caratterizzano le applicazioni più spinte. L’importanza che l’esercito americano riserva al cyberspace è pari a quella che ha avuto nel recente passato lo spazio aereo: motivo per cui, la CyberSuperiority è vista come un obiettivo primario da raggiungere. Cloud compunting e superiorità digitale sono quindi concetti profondamente legati tra loro.

L’Europa assume invece un ruolo guida quando si parla di cloud per le infrastrutture critiche: uno studio condotto da esperti ed analisti del settore ha messo in evidenza aspetti inerti al rischio, alla gestione, agli incidenti, al monitoraggio, al governo dei servizi e alla sicurezza in generale delle infrastrutture critiche.

SICUREZZA E SANITÀ

Quando si parla di Sanità e di Sicurezza delle informazioni, si fa riferimento per lo più al contesto ospedaliero, dove il “core-business” aziendale( principale attività dell’azienda di tipo operativo) consiste essenzialmente nel trattamento diagnostico-terapeutico delle persone.

L’obiettivo maggiore della Sanità è la tutela della salute delle persone, per questo motivo, concetti come processo e protocollo sono molto più sentiti ed acquisiti rispetto ad altri contesti, e questo non solo nel trattamento di dati.

Il tema della riservatezza in ambito Sanitario solleva non poche perplessità: se da una parte vi è abbondanza di normative specifiche per il trattamento delle informazioni sanitarie, dall’altra, le stesse normative hanno come conseguenza una maggiore difficoltà di accesso ai dati in contesti di pronto soccorso o di urgenza.

Per questo Sicurezza e Privacy rappresentano due aspetti che devo essere ben gestiti e governati in maniera globale e sistemica: soluzioni ICT in ambito sanitario prevedono l’utilizzo di un sistema di Identity and Access Management (IAM), come accade in ambito clinico con l’utilizzo di Clinical Data Repository, che consente la fruibilità di tutte le informazioni clinico-assistenziali di un cittadino solo a chi di dovere.

Utile considerare anche le problematiche relative al FSE (Fascicolo Sanitario Elettronico) che permette una relativa facilità di circolazione o quantomeno di accesso alle informazioni dei pazienti fra diverse strutture ospedaliere. Ecco perchè diventa sempre più necessario garantire l’integrità e l’origine dei dati, per tutelare le diverse parti in causa: aziende, personale e pazienti. L’adozione della firma elettronica e del processo di conservazione digitale permettono il rispetto di principi quali l’autenticità, il non ripudio e l’opponibilità a terzi.

Il rischio maggiore quando si parla di sicurezza in Sanità è quello della perdita di dati in presenza di guasti informatici o di eventi catastrofici: le strutture ospedaliere, attraverso una logica di business continuity e di disaster recovery, dovrebbero sempre essere in grado di mantenere la propria operatività , attraverso il continuo utilizzo di informazioni, ma soprattutto, attraverso la continua fruizione di dati da una struttura all’altra, coinvolte nello stesso contesto di emergenza.

L’implementazione di questi piani è poco diffusa e le soluzioni tecnologiche di sicurezza non sembrano essere particolarmente utilizzate nel contesto italiano.

E-COMMERCE

In un momento di sfavorevole congiuntura economica, il mercato dell’e-commerce (commercio elettronico) sembra vivere periodi floridi e gli acquisti effettuati attraverso dispositivi mobili (noti come m-commerce), stanno aumentando vertiginosamente, grazie all’endemica diffusione di apparecchi quali smart phone e tablet.

Secondo uno studio condotto e pubblicato dal Politecnico di Milano, il mercato digitale italiano è da sempre più orientato alla vendita di servizi che a quella di prodotti, in controtendenza rispetto al resto del mondo. Inoltre, il valore del mercato italiano dell’e-commerce è nettamente inferiore rispetto a quello di altri Paesi europei, quali Regno Unito e Francia. L’Italia deve questo ritardo nella crescita del commercio elettronico ad una serie di fattori bloccanti che portano meno della metà della popolazione ad acquistare in Rete rispetto alla media europea. Inoltre, la penetrazione di Internet e delle comunicazioni ad essa legate e la cultura informatica della popolazione sono al di sotto della media europea e gli strumenti di pagamento elettronici sono ancora poco diffusi ed utilizzati,concorre al ritardo anche la barriera linguistica che penalizza acquisti in altri Paesi e la diffusione di norme che “appesantiscono” la competitività del canale.

Dopo aver analizzato le numerose possibilità ed opportunità che l’e-commerce offre, il problema del la compra-vendita in Rete è stato inserito nell’Agenda Digitale italiana.

La sicurezza è uno dei principali motivi per cui il 60 % degli utenti non acquista in Internet: la percentuale di frodi sull’e-commerce è in constante riduzione, ma la forte crescita del numero di acquisti e del loro volume e l’aumento progressivo dei canali tecnologici da poter utilizzare, rende il settore facilmente vulnerabile.

Il fenomeno del cybercrime diventa infatti sempre più vasto e sempre più capace di elaborare malware e progetti di complessità fino ad allora sconosciuti.

Nel 2012 le violazioni a giganti dei pagamenti online sono state molteplici (è il caso della russa ChronoPay)ed è aumentata anche la presenza di virus in grado di trasferirsi da personal computer a dispositivi mobile.

Tuttavia, da molti anni sono stati autorevoli gli sforzi e le strategie studiate per migliorare il livello di sicurezza dei sistemi e delle applicazioni utilizzate nell’e-commerce: è il caso di eBay, oggi leader delle transazioni online in Italia grazie al famoso servizio di pagamento in Rete PayPal. Inoltre, una serie sempre più crescente di norme e di regole sta migliorando l’efficienza del settore :standard del PCI Council,,misure per la protezione dei dati personali, direttive relative ai servizi di pagamento nel mercato interno ecc….

Il fattore principale da dover prendere in considerazione è però la scarsa cultura informatica: la maggior parte delle frodi non sfrutta solo la vulnerabilità dei sistemi e dei dispositivi, quanto piuttosto un loro uso improprio da parte di utenti.

L’ENISA, l’Agenzia Europea per la Sicurezza delle Reti e delle Informazioni, si è impegnata negli ultimi tempi a sensibilizzare gli utenti finali , istituendo lo scorso ottobre il primo “European Cyber Security Month”, dedicato alle principali regole da osservare per mantenere un buon livello di sicurezza nel cyber spazio.

 

PROTOCOLLO Ipv6

Ipv6 è la versione dell’Internet Protocol designata come successore del Ipv4. Il protocollo introduce nuovi servizi e semplifica la configurazione e la gestione delle reti IP.

L’implementazione è stata lenta e graduale , infatti Ipv6 nasce negli anni 90, ma inizia a diffondersi tra i produttori di dispositivi solo di recente, a causa dell’assenza di benefici ed incentivi nell’adottarlo.

Nonstante ciò, il nuovo protocollo gode oggi di ottima fama, incorporando funzionalità di sicurezza e cifratura. Le reti in passato sono state costruite senza badare alla sicurezza e solo in seguito si è pensato di prendere in considerazione determinati elementi: Ipv6 ha permesso di implementare reti pensando prima alla sicurezza.

Nell’ultimo decennio sempre più persone hanno iniziato ad utilizzare Internet e parallelamente è aumentato l’uso del web su dispositivi mobili, le applicazioni infinite cosi come i potenziali modelli di business hanno avuto bisogno di uno spazio di indirizzamento differente , ed il vecchio protocollo Ipv4 semplicemente non era in grado di offrire tutto questo.