Grazie al fatto che l’encryption è stata menzionata come misura di sicurezza adeguata nel Regolamento Europeo per la protezione dei dati personali (GDPR), è stata adottata da molte aziende, ma non è la soluzione prioritaria da adottare. È facile lasciarsi sedurre dalle promesse di qualcosa che sembra possa risolvere tutto e gli uomini tendono a credere nell’esistenza dei silver bullets ovvero di soluzioni semplici, magari nascoste dietro l’angolo, a problemi molto complicati.
L’utilità della cifratura (encryption) affonda le sue radici nella storia militare fin dall’antichità: è ben noto il semplice cifrario di Giulio Cesare e la violazione dei ben più complicati codici dell’Asse durante la seconda guerra mondiale ne ha condizionato l’esito. Gli sforzi per decifrare i messaggi del nemico hanno dato un enorme impulso all’informatica e ai calcolatori elettronici e hanno fortemente contribuito a definire la nostra tecnologia attuale.
La Bomba da cryptological bombe, nome inglese derivato dal polacco bomba kryptologiczna fu una speciale macchina calcolatrice utilizzata dapprima dal controspionaggio polacco ed in seguito da quello inglese per decifrare i messaggi segreti tedeschi codificati con la macchina Enigma, ideata da Arthur Scherbius.
Indice degli argomenti
Alcuni aspetti importanti dell’encryption
Non vorrei dare l’impressione di non apprezzare il valore di questa tecnologia, ma dopo aver segnalato su questo tema l’ottimo contributo di Paola Meroni nel Rapporto Clusit 2019 sulla Sicurezza ICT in Italia, vorrei evidenziare altre cose. Infatti un’organizzazione che deve proteggere i propri dati ha sicuramente altre misure da realizzare prioritariamente, come per esempio un adeguato controllo accessi e una moderna gestione dell’identità.
Vorrei insistere su due punti importanti:
- Visto che le risorse umane ed economiche disponibili sono sempre limitate, la decisione in merito alle misure di sicurezza di cui dotarsi deve essere fatta tramite un ragionamento che parte dall’analisi del rischio, considera gli asset da proteggere e tende a massimizzare il rapporto tra il costo e il beneficio.
- La sicurezza assoluta non è raggiungibile e quella relativa è funzione del livello di investimento, tenendo conto del fatto che la forza di un sistema è, come in una catena, pari a quello del suo anello più debole. Un attaccante identificherà e si concentrerà sempre su quello.
L’esperienza di tutti i giorni ci porta quindi a suggerire almeno tre aspetti che devono essere valutati prima dell’encryption:
- Il fattore umano. In passato, per rappresentare l’ingenuità di alcuni utenti sono stati inventati degli acronimi come PMAC e PICNIC (rispettivamente “problem exists between monitor and chair” e “problem in chair, not in computer”). Il phishing e il social engineering dovrebbero veramente preoccupare ogni organizzazione e, cercando il lato positivo, le campagne di sensibilizzazione potrebbero trasformare gli utenti e il personale IT da pericolo a risorsa. Infatti, essi potrebbero aiutare a progettare un’organizzazione e dei sistemi più resilienti.
- Il patching. Ancora oggi moltissimi attacchi partono da software e server mal configurati o non aggiornati rispetto alla sicurezza. Purtroppo, ad eccezione che per i sistemi personali, il patching non è semplice e dall’esito scontato, soprattutto quando servono servizi online H24 e ad altissima affidabilità. Il regression testing richiede competenze, strumenti e tempo che spesso le aziende non vogliono o non possono mettere in campo.
- L’autenticazione forte e l’autorizzazione a grana fine. Questi concetti stanno ad indicare la proprietà di assicurarsi con certezza dell’identità di chi vuole accedere e quella di ridurre i privilegi d’accesso limitandoli solamente a quanto strettamente necessario per svolgere il proprio lavoro. In particolare, questo secondo richiede dei considerevoli sforzi tecnici e organizzativi.
Si osservi che trascurare uno o più di questi elementi può dar luogo a situazioni di particolare rischio: un utente viene indotto a seguire un link malevolo, gli si rubano i fattori di autenticazione e tramite i privilegi eccessivi a lui assegnati si accede ad un server mal configurato o non aggiornato, dal quale, tramite dei movimenti laterali, l’attaccante prende possesso di ampie parti dell’infrastruttura nascondendovisi per dei mesi mentre ruba uno ad uno tutti i segreti aziendali.
Conclusione
Purtroppo, nel delicato settore della sicurezza informatica non esistono i silver bullet e a parte degli specifici casi d’uso (per esempio la cifratura della trasmissione in rete) l’encryption non è che una, e non la prima, delle misure di sicurezza da adottare.
Per massimizzare il ritorno dell’investimento le misure devono essere decise tramite un’analisi del rischio fatta da personale molto competente e possibilmente indipendente rispetto alle soluzioni tecnologiche e ai progetti di implementazione.
