Cybersecurity tra sicurezza e timori

Il numero di hacking, nell’eccezione negativa conosciuta ai più e non letterale,  è notevolmente accresciuto. Vediamo il fenomeno volto ad aggredire dati personali e informazioni di varia natura.

Tra standard, best practices, utilizzo di professionalità accreditate e certificate, norme da rispettare, la risposta per mitigare il “problema” pare (o parrebbe) essere il lavorare on-line in sicurezza: un ossimoro, raggiungibile, anche se mai al 100%, ecco perché “cybersecurity, tra sicurezza e timori”.

Probabilmente il tema “cyber” è quello del momento. Il PNRR e il bisogno di spingere sulla digitalizzazione ha aiutato molto. Importante è il non discorrere solo di prodotti, di nuove o più performanti tecnologie ma riportare il tema anche sui processi, sulla ricerca di competenza e sull’interoperabilità delle differenti figure concorrenti. Anche perché la cybersecurity interessa davvero tutti.

Analisi del contesto

Dalle soluzioni digitali a quelle integrate, dall’automazione di edifici (casa domotica, per esempio) alla protezione antincendio. Ancora, dalla climatizzazione alla videosorveglianza, dall’utilizzo di una vettura (si pensi all’auto elettrica), all’accesso alla mobilità alternativa (tramite qr-code e registrazione dell’utente). E poi il mondo, anzi, l’universo, dei social: oramai tutto è diventata una commistione tra il telematico e il cibernetico e no, Mazinga non c’entra, questa è la vita reale del contemporaneo.

I dati statistici aiutano il lettore a comprendere, almeno in termini numerici, quanto già conosce, o comunque può percepire autonomamente.

Rispetto al 2019 — che si potrebbe definire “anno spartiacque” circa le politiche di confinamento e incentivo al full remote working —  la quota di PMI nelle quali, nell’anno 2022 , più del 50% degli addetti hanno accesso a Internet per scopi lavorativi, è aumentata quasi del 23%.

Significativo è il numero dei data breach notificati nel 2022 al Garante Privacy da parte di soggetti pubblici e privati: 1351. Nel settore pubblico (31,2% dei casi), le violazioni riguardano soprattutto Comuni, istituti scolastici e strutture sanitarie. Nel settore privato (68,8% dei casi) sia PMI e professionisti, ma anche grandi società del settore delle telecomunicazioni, energetico e bancario. Il trend è sicuramente in crescita, come anche fotografato dal rapporto Clusit 2023, nel quale è stato evidenziato come talune attività — quali attacchi DDOS, per esempio — sono anche da ricondurre al prosieguo del conflitto in Ucraina.

Il tema, in parte, è già stato affrontato in ottica smart city, anche in funzione della sicurezza delle informazioni, (è impossibile, oggi, il solo pensare di separare la sicurezza fisica da quella digitale).  Inevitabilmente i limiti da superare interessano almeno due livelli concreti: singolo utente e azienda di riferimento (pubblica o privata che sia).

A seguire, verticalizzando — ma senza appesantire troppo — si potrebbe spaziare dalla formazione/informazione/educazione al “vivere in digitale”, di ogni utente che si affaccia su servizi connessi. Quanto sopra, significa chiunque abbia una smartphone, un account mail o social, per esempio. Accanto a questi punti si sviluppa poi la necessità economica: maggiori investimenti richiesti al professionista/PMI/Azienda/PA per “rimanere al passo” in un mondo dalla mutevole complessità.

L’investimento, in quest’ultimo caso, non può essere “limitato” solo all’intendere un capitale speso, o comunque messo a bilancio, ma implicherà investire “energie”, “tempo”, “competenze” e “capitale umano”. Si passa quindi anche attraverso il “tempo”, inteso proprio come lasso cronologico, sia esso impiegato per l’aggiornamento del personale IT, che per le riunioni del caso (quando necessarie), specie tra IT, auditor, DPO e ufficio legale, e per mettere in sicurezza quegli stessi sistemi, provvedendo, poi, alla formazione a cascata sui nuovi rischi mitigati, che però possono continuare a persistere (anche con forma differente).

Infatti, quasi facendo eco a quanto appena scritto, “la cybersecurity preoccupa il 45,1% delle imprese più grandi, che per difendersi hanno stipulato un’assicurazione contro gli incidenti informatici” — riporta l’ISTAT, nel report già citato (gennaio 2023) — “tra le imprese di minore dimensione la quota è del 14,4% (rispettivamente 44,6% e 22,6% in Ue27)“. Interessante il constatare come l’elemento cyber faccia ora capolino nel nuovo Codice degli Appalti per la PA, significando una maggiore attenzione verso l’acquisto di prodotti e servizi, in sicurezza, stante la necessità — ravvisata da più parti — di un testo maggiormente coordinato con la cornice del perimetro gestito da ACN.

Continuando, si veda il Digital Intensiy Index. Questa è una metrica Eurostat che vede l’Italia assestarsi sulla media europea per investimenti nel settore ma comunque penalizzata da ritardi nell’accesso a banda larga fissa. Interessante, a tal proposito, è  il Digital Economy and Society Index (DESI). Un indice, dal 2014, con cui la Commissione europea monitora i progressi compiuti dagli Stati membri nel settore digitale, circa la digitalizzazione dell’economia e della società. Per il 2022 l’Italia è al 18esimo posto di 27 Stati. La nuova strategia per la Banda Ultra Larga, si auspica, comporti  un rafforzamento del settore delle telecomunicazioni italiano, con un conseguente e strutturale contributo alla crescita del PIL del Paese.

Continuando, d’interesse è anche il rapporto Censis – IISFA, presentato al Senato della Repubblica nel luglio 2023.

Quest’ultimo rileva, per esempio, che la consapevolezza dell’utente è migliorata nel corso del tempo ma un 20% continua a non essere cosciente dei rischi che potrebbe correre online. I motivi della sottovalutazione delle minacce spazia dall’età anagrafica, alla scolarizzazione, ma anche mera disattenzione. Si pensi all’assenza di antivirus, su devices differenti dal computer, per esempio, stante, secondo il Global Digital Report 2022 di We Are Social, su quasi 51 milioni di italiani che si connettono abitualmente a internet, il 97,3% lo fa proprio tramite smartphone.

Si legge, sempre in IISFA, circa le minacce informatiche quotidiane, “nel corso dell’ultimo anno al 76,9% degli italiani è capitato di imbattersi almeno in una minaccia informatica, quota che raggiunge l’87,3% tra i 18-34enni. Il 63,3%, inoltre, è stato coinvolto in un numero di episodi compreso tra 1 e 3, mentre il 10,4% tra 4 e 6. Smishing e phishing sono di gran lunga le tecniche prevalentemente introdotte dai cyber threat actor. Il 60,9% del totale ha ricevuto un sms o un messaggio su WhatsApp con invito a cliccare su un link sospetto, con valori che arrivano al 70,7% tra i 18-34enni, mentre il 56% è stato bersaglio di email ingannevoli che chiedevano informazioni sensibili, con mittente banche e/o aziende di cui sono clien1 (67,2% dei 18-34enni)”.

Attacchi

Peculiari, nell’ultimo periodo, prescindendo dalla minacce all’utente,  sono i casi del Comune di Bacoli, in Campania, la quale pagina facebook è stata oggetto di un “hackeraggio a luci rosse”, significando un  defacement con ammiccanti pose di giovani ragazze asiatiche. Ancora, Postel, società del gruppo Poste Italiane, colpita da ransomware, come il Comune di Ferrara. I casi ovviamente possono essere diversificati e, tendenzialmente, spaziano dal hacktivismo alla remunerazione del “colpo” effettuato. Giustappunto i ransomware,  vere e proprie richieste estorsive utilizzando, quale tramite, i dati della vittima, criptati e magari esfiltrati, per poi essere posti su mercato al miglior offerente.

Le ideali conseguenza di quest’ultima azione non “si limitano” all’accesso abusivo a un sistema informatico. Varie possono essere, infatti, le altre realtà che possono essere, a latere, coinvolte.

Viene offerta, infatti, all’attaccante di avere la possibilità di favorire la creazione di false identità. Possibile infatti il portare avanti una sostituzione di persona, disponendo di documenti digitali di terzi, con cui richiedere, per esempio, l’attivazione di servizi, salvo commettere anche illeciti contro il patrimonio, laddove si avesse la disponibilità di carte di credito o di documentazione bancaria.

Navigare nel dark web, quindi, non è un reato ma, come ricordato dal Garante Privacy, l’utilizzo di file che possono essere riconducibili a reato, ovvero la loro condivisione, espone quell’utente alle conseguenze penali del caso.

Appare quindi inevitabile la convergenza operativa tra diversi attori. Significando dal servizio IT dell’istituzione colpita, a quell’ufficio legale, dal DPO, alla naturale condivisione informativa con Autorità Giudiziaria, Polizia Postale, Agenzia per la Cybersicurezza e Garante Privacy

Approcci per utente medio

Perché si fa sempre riferimento all’utente medio? Gli studi di Quetelet — tanto cari a criminalisti e statistici — rientrano poco nel target in esame ma aiutano comunque a rendere l’idea dell’utente contemporaneo, che realmente spazia in una dimensione “multiruolo”.

Ogni utente, intendendo chiunque si affacci sul mondo cyber, riveste, nella propria giornata, differenti ruoli. Si pensi a quello lavorativo (grazie all’accesso ai sistemi aziendali), personale (interazione con i propri social, lettura delle mail, upload/elaborazione dati su cloud), utente di servizi (mobilità alternativa, mezzi pubblici, acquisto presso negozi e servizi sanitari). Come proteggersi?  

Intanto è sempre possibile rifugiarsi nel classico consiglio “cambiare spesso la password”.

Oramai le politiche aziendali sono copie conformi tra loro. La password è la prima vittima designata.

Bisogna cambiarla periodicamente (in linea di massima si spazia dai 45 ai 60-90 gg), avendo cura di non utilizzare una delle parole chiave già adoperate in precedenza (in genere fino alle ultime 4 volte). La password poi dovrà essere composta da una serie di caratteri alfanumerici, con aggiunta di elementi grafici e alternanza maiuscole/minuscole, composta da non meno di 8 elementi.

Logica conseguenza: disseminare le proprie utenze, scrivendo la password su appunti (post-it, file dedicati, rubrica telefonica, sullo stesso schermo del device, etc.). Probabilmente di maggiore aiuto potrebbe essere l’utilizzo di una breve frase, più difficile da individuare tramite tecniche di social engineering, oppure il convertire la password designata con codice ASCII o sostituendo alcuni termini alfabetici con dei numeri (ciao => c140, per esempio). Se poi si evitassero riferimenti a familiari, compleanni e nomi animali domestici, la scelta sarebbe sulla buona strada.

La complessità può essere amica della sicurezza,  infatti ideale sarebbe una soluzione 2FA o MFA, quindi a più fattori senza limitarsi alla sola “chiave segreta”. Questo implicherebbe l’utilizzo di un dato biometrico o, stile OTP, un numero telefonico associato, quale ulteriore verifica al momento dell’accesso su un certo servizio/pagina web/social.

A quanto sopra si aggiunga, arrivando alla conclusione:

• aggiornamento frequente dei software in uso ai propri device (s.o., smartphone, per esempio);
• utilizzare antivirus e firewall;
• prestare attenzione a non cliccare su link pervenuti da indirizzi/contatti non conosciuti, specie se sono link abbreviati, senza averli prima verificati;
• evitare di condividere informazioni personali online (valutare quali dati pubblicare).

Circa quest’ultimo punto, si pensi a interi cv dove sono presenti: cellulare, indirizzo residenza, indirizzo mail, foto soggetto e sua firma, manca solo la carta d’identità per favorire una sostituzione di persona. Ancora, capita di condividere direttamente degli screen shot, in taluni casi, nel seriale identificativo dell’immagine, è possibile rinvenire anche il numero di cellulare, sarebbe opportuno ridenominare sempre le foto, eliminando anche i tag georiferiti (disattiva funzioni geolocalizzazione presenti sulle app social e non solo, come quelle per il fitness).

Silvestro Marascio