Una corazza matematica per proteggere le informazioni

Dici crittografia e subito vai con la mente ai racconti e ai film spionistici con i loro messaggi cifrati o le loro informazioni segrete protette da codici sofisticati.

Puoi non essere abituato a pensare a questo argomento calato nell’ambito della tua vita quotidiana (a meno di non essere un agente segreto, per l’appunto): eppure oggi è sufficiente accendere un computer o anche un qualsiasi telefonino per imbatterti nelle più moderne tecniche crittografiche.

L’era dell’informazione e della connettività ci obbliga infatti ad affrontare argomenti che, per l’uomo della strada, un tempo erano relegati alle fiction.

Si dice infatti che i dati siano il nuovo “oro nero” di questo secolo, e in effetti è innegabile che il loro valore possa essere incalcolabile – con la conseguenza di ricevere attenzioni indesiderate da parte di una serie di attori interessati a carpire le nostre informazioni per scopi più svariati: spionaggio personale o industriale, furti di identità, ricatti, sabotaggi.

Eccoci quindi trasformati, senza accorgercene, nei protagonisti di una spy story: le attività cybercriminali su vasta scala ormai non distinguono più tra un’ambasciata straniera, una banca nazionale o il signor Rossi di turno.

I dati sono preziosi a prescindere, e questo significa che siamo tutti un potenziale bersaglio.

Di fronte a tutto questo, la crittografia rappresenta una preziosa arma di difesa.

In parte la trovi già integrata nelle infrastrutture informatiche attuali e, quindi, la utilizzi senza dover fare alcunché.

In altri ambiti invece si tratta di un’opportunità che sta a te decidere di cogliere o meno. Qualche nozione di base e qualche esempio ti aiuteranno a effettuare le scelte opportune, proteggendo la dimensione digitale della tua vita personale e lavorativa.

 

Motivi per cui scegliere un sistema crittografico

Ci sono sei buoni motivi per cui oggi è importante utilizzare un buon sistema crittografico.

Cifrando le informazioni, puoi garantirti:

• riservatezza: se le informazioni sono crittografate, ciò che comunichi verrà conosciuto solamente dal destinatario. Scambiarsi messaggi in chiaro (cioè non cifrati) equivale a spedire una lettera in busta aperta: chiunque se la veda passare davanti agli occhi può leggerne il contenuto;
• sicurezza: con gli attacchi ai sistemi informatici in costante crescita, la sottrazione di documenti digitali e file di dati è un rischio sempre presente. Ma se le informazioni sono crittografate, resteranno al sicuro anche qualora dovessero essere rubate;
• integrità: più subdolo del furto di dati, è il fenomeno della modifica di file e documenti per scopi illeciti.

Un malintenzionato potrebbe, per esempio, sostituire l’IBAN delle fatture fornitori con quello di un conto da lui controllato, con conseguenze facilmente immaginabili. Ma un dato crittografato non può essere manipolato senza che ciò risulti evidente;

• originalità: le tecniche crittografiche sono utili anche per apporre una sorta di “firma digitale” su file e documenti. In questo modo si può essere certi del fatto che l’autore di un certo messaggio o documento sia effettivamente colui che afferma di essere;
• autenticazione: integrando la cifratura nei meccanismi che governano l’accesso ai sistemi informativi e alle informazioni in essi contenuti, è possibile verificare la legittimità dell’utente che effettua la richiesta di accesso ai sistemi;
• compliance: la crittografia garantisce il rispetto di leggi, normative e regolamenti che, sempre più spesso, prevedono l’adozione di misure crittografiche a protezione di informazioni personali e sensibili (ad esempio, lo prevede il GDPR – ma non è l’unico).

Una parte rilevante dei problemi che persone e aziende affrontano in caso di violazione dei loro sistemi informativi, riguarda proprio la mancanza di protezioni crittografiche.

Rifletti per un minuto sulla natura dei dati e dei documenti che conservi sui tuoi computer o che puoi reperire attraverso la tua rete aziendale.

Possiamo immaginare che vi siano progetti di business, budget, piani di marketing, accordi con clienti e fornitori, contratti, dati contabili, dati bancari, dati sensibili per la gestione del personale, magari qualche segreto industriale e senz’altro tutta la corrispondenza interna ed esterna sotto forma di email.

Prova a immaginare se queste informazioni dovessero fuoriuscire per un qualsivoglia motivo: un attacco informatico, un atto doloso interno, una svista umana, un errore del software.

Ci vuole un attimo perché tutti i dati della tua azienda vengano resi disponibili su Internet, accessibili a chiunque.

 

Quali sono le conseguenze di una situazione del genere?

La perdita di fiducia da parte di clienti e dipendenti, oppure le possibilità che l’azienda venga chiamata a rispondere di violazioni normative, di inosservanza degli obblighi di confidenzialità o persino di illeciti amministrativi o fiscali.

Molto dipende dal ramo di attività: una ditta installatrice di antifurti, uno studio legale, un centro medico, rischiano ovviamente strascichi ben più gravi rispetto a una fabbrica di piastrelle o un vivaio di floricoltura.

In un contesto del genere diventa immediatamente chiaro il ruolo che la crittografia può rivestire nell’attenuare gli effetti di una esfiltrazione delle informazioni (così si chiamano in generale tutte le fuoriuscite involontarie di dati).

La presenza di misure crittografiche aiuta addirittura a semplificare determinati obblighi normativi, come nel caso del già citato GDPR: poiché con la cifratura non viene meno la tutela della riservatezza e dell’integrità dei dati, chi se ne avvale non è obbligato a comunicare eventuali tentate violazioni agli utenti interessati, ma solamente al Garante della Privacy (ex art. 32 GDPR).

 

La crittografia nella pratica

Eliminato ogni potenziale dubbio circa l’opportunità di ricorrere alla crittografia come arma di difesa, vediamo ora quali sono gli ambiti e i modi nei quali puoi applicare la crittografia nella pratica.

Cifratura integrale dei dischi

È la cosiddetta FDE o Full Disk Encryption, e magari la conosci già o ne hai sentito parlare in quanto si è diffusa negli ultimi anni attraverso soluzioni software specifiche come BitLocker (su Windows), FileVault (macOS) e LUKS (Linux).

Il concetto della FDE è molto semplice: si tratta di una sorta di intermediario che si frappone in maniera trasparente tra l’utente e il disco o i dischi dei computer, occupandosi di crittografare tutto quello che viene scritto e memorizzato su questi ultimi, e viceversa decifrando i dati quando vengono richiesti dall’utente stesso.

Detto in altre parole: l’intero contenuto di un disco risulta crittografato e quindi è di fatto inaccessibile per chi non conosce la password di decodifica. Password che è sufficiente digitare una sola volta all’accensione del computer (o al collegamento del disco) affinché si possa poi lavorare normalmente senza più doversi preoccupare della presenza del software o dell’hardware FDE installato sulla macchina.

Le soluzioni FDE sono estremamente pratiche e particolarmente consigliate sui computer portatili, che più di altri sono a rischio di furto o smarrimento. Il numero di laptop che vengono abbandonati da viaggiatori distratti su mezzi pubblici, taxi e treni è inspiegabilmente elevato. 

Secondo una ricerca, lo smarrimento o il furto di dispositivi elettronici riguarda il 4% della popolazione mondiale e nel 29% dei casi il dispositivo in questione è un laptop (computer portatile).

Una cautela per le aziende: l’impiego di una soluzione FDE all’interno di un’azienda deve essere sempre accompagnato da una seconda chiave o da una procedura che permetta a un amministratore di recuperare i dati contenuti in un determinato computer, qualora il relativo utente lasci l’organizzazione o si dimentichi la password.

 

Cifratura selettiva di file e cartelle

Una variante della FDE appena vista è la cifratura selettiva, che applica il medesimo concetto a un ambito più limitato.

Con la cifratura selettiva, vengono crittografate solo le cartelle e i file che l’utente desidera proteggere, invece che l’intero disco del computer.

Una soluzione di questo tipo ha il vantaggio di poter essere implementata sul computer velocemente e in qualunque momento, mentre le tecnologie FDE che non sono state attivate al momento della formattazione del disco possono richiedere parecchio tempo per inizializzarsi su un disco già esistente, col rischio di renderlo inutilizzabile in caso di errori.

La cifratura selettiva, come quella fornita sui vari sistemi operativi da EncFS4, è andata diffondendosi parallelamente al ricorso ai servizi di cloud storage / online storage come Dropbox, Google Drive, Box, OneDrive e simili.

Se non ne hai mai sentito parlare, questi servizi non fanno altro che rendere disponibile all’utente uno spazio storage virtuale allocato su appositi server remoti, esattamente come se si trattasse di un hard disk immateriale al quale puoi accedere via rete da qualsiasi dispositivo e ovunque ti trovi.

Ovviamente utilizzare un servizio del genere significa trasmettere e depositare i propri file sui sistemi del relativo gestore, che sarà in grado di osservare quanto contenuto nei file che gli affidi. 

Ecco allora l’utilità delle soluzioni di cifratura selettiva, che puoi adoperare per codificare i file e le cartelle che desideri sincronizzare o copiare su questi servizi di cloud storage con la certezza di sapere che nessun altro sarà in grado di curiosare al loro interno.

 

Cifratura di chiavette USB e simili

Se il caso di laptop smarriti o rubati è relativamente frequente, figuriamoci quale può essere la situazione quando si parla di chiavette o dischi esterni USB. Questi dispositivi vengono usati quotidianamente per gli scopi più disparati: per scambiare file con altre persone, per tenere una copia di backup di documenti importanti, per archiviare file liberando spazio dal PC, per trasferire dati da un computer all’altro, per sincronizzare il proprio lavoro quando si passa dall’ufficio a casa e viceversa.

Tuttavia la portabilità e le dimensioni ridotte di questi prodotti tanto comodi, pratici ed economici giocano a loro sfavore e la loro proliferazione ne rende estremamente difficoltosa la gestione e la localizzazione all’interno delle aziende.

Per questo motivo andrebbero sempre considerati come dispositivi ad alto rischio e trattati conseguentemente.

Anche qui ovviamente la crittografia può essere di grande aiuto. In commercio si trovano chiavette USB protette, accessibili tramite password o addirittura impronta digitale, che implementano algoritmi di cifratura all’interno di un apposito chip hardware.

In alternativa, le soluzioni appena viste per la cifratura full-disk o selettiva possono essere utilizzate con successo anche sulle memorie portatili di questo tipo.

È comunque opportuno limitare il più possibile il ricorso a questo genere di dispositivi per la conservazione o il trasferimento di file sensibili, dal momento che accade facilmente di dimenticare quale password è associata a quale chiavetta, in particolar modo quando vi siano poche differenze fisiche ed estetiche tra una chiavetta e l’altra.

Sconsigliatissimo l’utilizzo di una medesima password per tutte le unità, dal momento che se fosse necessario consentire l’accesso a un determinato dispositivo a un’altra persona, questa sarebbe automaticamente in grado di entrare in tutti quelli che condividono la stessa parola chiave.

Fai attenzione anche alle versioni con accesso controllato tramite impronta digitale, in quanto rischiano di restare inaccessibili quando l’utente originale dovesse essere assente o, peggio, lasciare l’azienda.

 

Cifratura cloud

Il cloud è una realtà ormai affermata nell’ambito IT con la quale tutte le aziende sono prima o poi chiamate a confrontarsi. Che si tratti di un semplice servizio di cloud storage come quelli visti prima, piuttosto che soluzioni maggiormente strutturate e rese fruibili in modalità as-a-Service, rimane il fatto che tutto quel che concerne il cloud comporta la trasmissione, il trattamento e la conservazione di file e dati su sistemi esterni che appartengono a qualcun altro – il cloud provider della situazione.

Dal punto di vista della sicurezza, il cloud è una questione di collaborazione tra cliente e fornitore. Quello che ha preso il nome di modello di responsabilità condivisa, o shared responsibility model, implica infatti una spartizione del lavoro: al provider l’onere di proteggere l’infrastruttura su cui poggia il proprio cloud, al cliente il compito di proteggere i dati che vengono trasferiti sul cloud stesso.

Sempre più cloud provider si fanno carico di questo aspetto, offrendo la protezione crittografica di file e informazioni per conto dei loro clienti.

Quando scegli un servizio in cloud dovresti quindi verificare questa condizione e, con l’aiuto del tuo consulente informatico di fiducia, accertarti della validità e solidità della soluzione crittografica adottata dal cloud provider.

 

Cifratura su smartphone

Siamo abituati a chiamarli telefoni, ma in realtà sono anch’essi dei computer: prova ne sia che per la maggior parte del tempo gli smartphone vengono usati per tutto tranne che per telefonare. Sono dispositivi di cui sul lavoro è ormai difficile fare a meno, e quindi andrebbero considerati, trattati e gestiti come parte della dotazione digitale di un’attività di business.

Rispetto ai computer sono tuttavia ambienti più chiusi, dove le possibilità di personalizzazione tecnologica sono più limitate.

Questo per dire che, nonostante vi siano alcune possibilità crittografiche attivabili su questi dispositivi, il controllo esercitabile dall’utente su queste piattaforme è certamente più ristretto che non su PC.

E se hai avuto l’idea di passare in rassegna qualche app store per cercare soluzioni alternative adatte alla bisogna, presta moltissima attenzione all’affidabilità di chi le propone. Molte app non fanno ciò che promettono e non sono quel che sostengono di essere.

La buona notizia è che la sicurezza è comunque da tempo nei radar dei produttori del settore, sia hardware che software, quindi non disperiamo di poter arrivare un giorno a portare in tasca smartphone davvero sicuri.

Nell’attesa, l’approccio migliore da tenere è quello di usare questi strumenti con estrema prudenza, evitando per quanto possibile di farci transitare i documenti più sensibili o effettuare operazioni critiche.

 

Cifratura dei dati in transito

Se finora abbiamo parlato di dispositivi fisici o virtuali, bisogna ricordare che nell’informatica moderna esiste un ulteriore ambito che richiede grande attenzione in termini di sicurezza, ed è la connettività tra i vari sistemi – sia attraverso la rete, che mediante collegamenti fisici come le classiche porte di connessione.

Il tuo PC può essere infatti ultra sicuro e protetto con FDE, e il tuo cloud storage può garantire la massima protezione possibile mediante i migliori algoritmi crittografici in circolazione.

Ma cosa accade quando i dati lasciano il tuo computer per incamminarsi lungo le autostrade telematiche che li portano fino al servizio cloud desiderato?

Cosa accade ai tuoi messaggi email dal momento in cui li spedisci a quello in cui i destinatari li ricevono?

Cosa accade alle tue credenziali personali quando ti colleghi al tuo servizio di home banking?

Si parla in questi casi di sicurezza dei dati in-transit (nei casi visti in precedenza riguardano i cosiddetti dati at-rest, letteralmente “a riposo”), ovvero nel corso degli spostamenti tra un punto e l’altro dell’ambiente IT locale e remoto che sia.

I rischi che si corrono in questa situazione sono legati alla possibilità di intercettazione dei dati da parte di osservatori intermedi e, nei casi peggiori, di modifica illecita del traffico stesso a fini cybercriminali.

La tecnologia crittografica ci viene qui in aiuto attraverso la disponibilità di protocolli sicuri (come HTTPS, versione cifrata del protocollo HTTP per la consultazione dei siti Web; o FTPS, per il trasferimento cifrato dei file in alternativa alla versione “in chiaro” FTP) e di apparecchiature di rete specifiche.

 

Il rovescio della medaglia: punti critici della crittografia

Per un utilizzo efficace della tecnologia crittografica è opportuno che tu sia consapevole anche di alcuni punti critici che è bene imparare a gestire con l’aiuto del tuo consulente IT:

• la crittografia ha un prezzo. Non è solo il costo monetario delle soluzioni commerciali, quanto piuttosto il costo generale provocato dall’inevitabile appesantimento operativo che i sistemi crittografici comportano.

Cifrare e decifrare implica infatti l’esecuzione di una serie di operazioni matematiche complesse, il che riduce la disponibilità delle risorse di calcolo per altre attività produttive;

• la gestione delle chiavi crittografiche. Che si tratti di semplici password piuttosto che di file contenenti certificati e chiavi crittografiche, se non vuoi correre il rischio di restare chiuso fuori dai tuoi sistemi di cifratura devi definire, applicare, rispettare e far rispettare un piano per la corretta gestione delle chiavi crittografiche. Non è tanto una questione tecnologica quanto piuttosto organizzativa e di processo;
• attenzione alla compatibilità. Non tutte le applicazioni sono scritte per integrarsi perfettamente con strati esterni di protezione crittografica, e soprattutto in ambienti cosiddetti multivendor – ovvero con una presenza diversificata di produttori, sistemi operativi e tecnologie di base – non è detto che il medesimo sistema di cifratura sia disponibile e/o ben funzionante su ogni elemento IT presente;
• la crittografia si evolve. Accade che a un certo punto un algoritmo crittografico possa perdere di efficacia, magari perché è emersa una sua vulnerabilità intrinseca oppure perché nel frattempo sono stati scoperti nuovi strumenti matematici che lo rendono fragile e facilmente attaccabile.

Come ogni altro componente IT, quindi, anche la crittografia può richiedere aggiornamenti; in certi casi questo può significare dover procedere a cifrare nuovamente file e documenti avvalendosi delle nuove versioni o tecnologie.

La crittografia, come hai potuto capire, non è una bacchetta magica che trasforma all’istante un ambiente vulnerabile in una sorta di Fort Knox delle informazioni. Tuttavia è uno strumento che, scelto e implementato con i dovuti accorgimenti, può metterti al riparo da tutta una serie di potenziali gravi problemi di sicurezza dati.

Il mercato mette a disposizione diverse soluzioni di crittografia che si differenziano in base alla tecnologia sottostante e all’ambito per il quale sono progettate.

Dall’utente privato, al libero professionista, fino alla grande azienda, c’è sempre una risposta adatta alla domanda di sicurezza: Fastlane è in grado di fornirti tutti i servizi di cui hai bisogno.

Dopo un esame del tuo scenario IT e delle particolarità della tua attività, potremo senz’altro consigliarti il sistema crittografico più adatto e affiancarti in modo da garantire che il sistema scelto, resti costantemente adeguato ai tuoi requisiti nel corso del tempo.

 

Affidati a tecnici specializzati in sicurezza IT

La sicurezza della tua azienda deve essere garantita da tecnici professionisti sempre aggiornati sui nuovi pericoli e in grado di attuare tutte le procedure corrette per mantenere protetti i punti più a rischio della tua infrastruttura IT. Solo un’analisi puntuale ed approfondita della situazione in essere può far emergere eventuali criticità.

Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Security per la completa gestione del problema in modalità Managed Service Provider (MSP).

L’outsourcing dell’intera area IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.

Pagine correlate

• Come ottimizzare i costi dell’area IT? L’outsourcing del reparto IT è la soluzione?
• Progettazione di soluzioni per data center
• Come gestire ingresso e uscita dei dipendenti per tutelare la sicurezza dati
• Quale soluzione di sicurezza IT scegliere? Differenze tra Sophos EDR, XDR, MTR
• Consulenza strategica networking
• Gestione dei rischi e Servizi di conformità
• Servizi di cyber intelligence
• Consulenza strategica per cyber security
• Migrazione cloud dati aziendali: vantaggi e criticità
• Mobilità aziendale