Milano – Le clamorose incursioni degli hacker che si sono verificate agli inizi di febbraio hanno avuto almeno un merito, se così si può dire. Quello di alzare il livello di sensibilità di aziende e organizzazioni sulla necessità di affrontare il problema della sicurezza in modo preventivo e attraverso un progetto ad hoc.
La problematica della sicurezza è estramamente seria e ampia e gli hacker sono solamente la punta dell’iceberg. Il grande entusiasmo suscitato intorno ad Internet ha spinto molte aziende ad andare sulla rete senza prendere sufficienti misure di sicurezza. L’azienda che si apre a Internet o impianta una rete di comunicazione geografica senza preoccuparsi in modo adeguato delle intrusioni è come un castello sguarnito, con il ponte levatoio abbassato e senza guardie alle porte, per cui, insieme agli amici, anche i nemici possono agevolmente entrare.
Il modo di difendersi c’è e i livelli di protezione, e i relativi costi, sono diversi: la scelta dipende dall’attività dell’organizzazione e dal livello di criticità delle informazioni che fa viaggiare sulla rete. Molte imprese credono che, installando un firewall, possono risolvere tutti i loro problemi di accessi indesiderati dall’esterno via Internet. Non è così, ma è già qualcosa, se si pensa che in Italia non è così frequente nemmeno l’installazione di un firewall. Il firewall, ad ogni modo, non consente certo di sapere in ogni momento chi sta facendo cosa sulla nostra rete, come gli episodi dello scorso febbraio hanno dimostrato.
Una corretta politica della sicurezza deve esaminare, analizzare e porre in atto misure di controllo e difesa a diversi livelli: non solo la rete, ma anche i sistemi, i dati, gli utenti, le applicazioni.
Al primo livello, quello della rete, si potranno allora mettere in essere soluzioni come i firewall o le reti private virtuali; proseguendo, a livello di protezione dei sistemi si dovrà pensare a tutti i vari strumenti di protezione dai virus e di intrusion detection, cioè di individuazione degli accessi fraudolenti. A livello di dati, i temi sono quelli della crittografia delle informazioni che viaggiano sulla rete o della firma digitale. Per quanto riguarda il problema dell’identificazione degli utenti, le soluzioni sono quelle dell’autocertificazione utente e dell’utilizzo di certificati digitali (tramite le strutture di PKI, Public Key Infrastructure) validate dalle cosiddette Certification Authority. Al livello più alto – e più costoso da implementare, anche in termini di impatto sull’infrastruttura – c’è la protezione dell’accesso alle singole applicazioni con la messa in opera di un’infrastruttura di gestione dei permessi. Il costo può variare – a seconda dei livelli coperti e dei posti di lavoro da proteggere – da pochi milioni a svariati miliardi.
In termini più semplici, i requisiti che dovrebbe avere un adeguato sistema di sicurezza si possono riassumere in 3 punti: garantire l’integrità dei dati ricevuti e spediti (cioè far sì che niente li danneggi); identificare e autorizzare chi spedisce e chi riceve i dati (in pratica identificarlo); proteggere i dati trasmessi da accessi non autorizzati (mirati a consultarli, alterarli o usarli per fini illeciti).
Un progetto di sicurezza ben fatto parte quindi da un esame preliminare dei rischi di sicurezza di quella determinata impresa o organizzazione (basato sull’analisi delle esigenze specifiche e degli eventuali sistemi di sicurezza già installati) per poi passare alla messa a punto di un piano di intervento che sfrutti tutta o parte della tecnologia di cui sopra.
Se è vero che un sistema sicuro al cento per cento non esiste – e forse mai esisterà – è però altrettanto vero che un progetto serio di sicurezza pensato e attuato all’interno dell’impresa consente di ridurre in modo notevole le percentuali di probabilità che un problema di sicurezza risulti fatale. In Italia, però, molti dei progetti avviati da aziende e organizzazioni del pubblico e del privato rimangono ancora al livello più basso, quello della protezione della rete. Mentre oggi, volendo, sono disponibili anche sistemi che permettono di individuare da dove arriva un attacco (di identificare in pratica l’incursore), sia esso proveniente dall’esterno o dall’interno dell’azienda, cioè da dipendenti che cercano, ad esempio, di accedere a informazioni riservate (e alcuni dati di società di ricerca indipendenti dicono che circa il 60% degli attacchi alla sicurezza proviene oggi proprio dall’interno dell’azienda). E ‘ dunque necessario un notevole sforzo di sensibilizzazione delle imprese, ma anche delle autorità, su questi temi ed è auspicabile che gli episodi degli hacker di questo inizio d’anno abbiano sollevato finalmente il velo sulla complessità del problema.
G. Andrea Farina, amministratore delegato di IT WAY
Ti potrebbe interessare
10 mar 2000