Vietare l’uso di dispositivi di storage portatili di tipo USB in azienda è sicuramente una buona idea. Sono sempre di più le piccole aziende così come le grandi organizzazioni ad esserne convinte, visti i problemi di sicurezza che comportano.
L’apripista, in questo senso, è stata IBM che ne ha vietato l’utilizzo già dal maggio 2018 in quanto ritenuta una pratica troppo pericolosa. Il colosso americano ha quindi inserito questa disposizione nelle sue policy di sicurezza con valenza internazionale e ha al contempo incoraggiato l’utilizzo di altri servizi di condivisione più sicuri.
Indice degli argomenti
Dispositivi USB in azienda: i rischi
I dispositivi di storage portatili USB se smarriti o utilizzati in modo improprio potrebbero infatti mettere a rischio la sicurezza aziendale e attivare procedure di data breach quando i dati in questione sono di carattere personale o comunque sensibili e riservati.
Oltre al rischio di smarrimento e uso improprio, è bene ricordare che tali dispositivi e in particolar modo le classiche pendrive USB hanno lo svantaggio di essere soggetti a usura: nel caso delle “chiavette”, quelle di brand noti e affidabili sono più performanti e resistenti ma, mediamente, la loro durata media nel tempo è di circa 4.000 cicli di scrittura che equivalgono a circa cinque anni di utilizzo.
Certo una pendrive USB è un comodo mezzo di trasferimento e archiviazione di dati, specialmente in tutti quei casi in cui vi è l’assenza di collegamento a internet. In commercio si possono altresì reperire pendrive di portata anche superiore a 64 GB a poche decine di euro, ma personalmente sconsiglio il loro uso per trasferimento o archiviazione dati a qualsiasi titolo, specie se usate come backup.
In aggiunta è bene sottolineare che una caduta, una distruzione accidentale potrebbe compromettere la disponibilità dei dati se non archiviati altrove con disposizioni/procedure efficaci (es. con la nota regola del 3-2-1 per i backup).
In ogni caso, esistono metodi di archiviazione meno obsoleti e più sicuri come il cloud.
Backup dei dati: cos’è, a cosa serve e le soluzioni per farlo, anche sul cloud
Dispositivi USB in azienda: misure di sicurezza
Se ciononostante si decide di consentire l’uso in azienda, allora il consiglio è quello di autorizzare solamente l’uso di USB di fornitura aziendale bloccando le porte in caso di inserimento di una USB non riconosciuta e provvedere alla tassativa protezione del contenuto mediante crittografia. Non bisogna lasciare mai “circolare” una chiavetta con dati accessibili in chiaro.
In aggiunta, se non già in dotazione, è importante dotarsi di un software in grado di controllare e la connessione o la disconnessione dei dispositivi USB, il monitoraggio dati dei dispositivi esterni e le relative informazioni (data, nome del drive ecc.) e connettetelo alle modalità di monitoraggio tramite machine learning, se presenti. In assenza di un apposito software anche il semplice Visualizzatore eventi di Windows può essere d’aiuto. Gli eventi inerenti il trattamento dei dati su device di storage USB portatili non sono meno importanti di quelli registrati a livello di connessioni di rete.
Policy d’uso dei dispositivi USB in azienda
A livello organizzativo è utile creare un registro dove prendere nota del modello/marchio dei dispositivi USB, del destinatario, dello scopo/finalità, oltre a dare chiare indicazioni sul suo utilizzo in forma scritta (pretendendo la controfirma del documento).
Last but not least: non dotare mai un dipendente di una USB da 64 GB, il suo uso dovrebbe essere limitato e occasionale. Un pendrive da 2 GB dovrebbero essere più che sufficiente per spostare qualche documento da una postazione all’altra. Questo per evitare che un dipendente infedele riesca a trasferirvi una gran mole di dati sfuggendo al controllo aziendale.
A utilizzo ultimato, il dispositivo USB di storage dovrebbe essere restituito all’IT o al settore che ne gestisce la distribuzione e le relative policy.
Inutile dire che una volta restituiti, i dispositivi USB non dovranno essere riutilizzati o riassegnati ad altri dipendenti/settori senza un previo processo di cancellazione/distruzione sicura dei dati che conteneva. La semplice cancellazione o riformattazione, infatti, non è sufficiente per scongiurare il pericolo di recupero delle informazioni: è necessario procedere con tecniche di sovrascrittura e/o altri metodi che rendano i dati transitati sull’USB totalmente irrecuperabili.
Cancellazione e distruzione sicura dei dati, ecco le tecniche per non sbagliare
Utili raccomandazioni
Un’ultima raccomandazione, che può risultare paranoica sì ma in questo contesto è bene esserlo: in occasione di festività o eventi aziendali (che, con l’attenuarsi della pandemia stanno riprendendo anche in presenza) si è spesso soliti rilasciare USB con il logo aziendale contenenti presentazioni, pubblicità, white paper e via dicendo a titolo di gadget: occorre bannarne l’uso anche quando non sono di dubbia provenienza.
In alternativa, se proprio bisogna usufruirne, è utile usare il sandboxing aprendola inizialmente in uno spazio scollegato alla rete aziendale. Una pendrive, infatti, può anche contenere un eseguibile che si avvia immediatamente senza neanche dare il tempo all’antivirus di analizzarla.
È sicuramente vero che il fornitore di fiducia che ci ha messo a disposizione il dispositivo USB non inietta un codice malevolo consapevolmente ma, come ben sappiamo, i criminal hacker sanno essere creativi e hanno imparato che colpire un’azienda a monte della supply chain è più conveniente che colpire le organizzazioni singolarmente (i casi SolarWinds e Kaseya dovrebbero averci insegnato qualcosa).
Cosa succederebbe nel caso in cui un criminal hacker dovesse trovare il modo per iniettare malware nei dispositivi USB ad uso gadget destinati alle aziende clienti? In teoria è possibile “hackerando” il produttore oppure la società che imprime i loghi aziendali. Ricordiamo che gli hacker sono sempre un passo avanti a noi perché oltre ad utilizzare l’AI utilizzano anche l’intelligenza umana, la fantasia e la creatività.
