Il concetto di cibernetica si riferisce molto genericamente alle implicazioni nella vita quotidiana dei mondi virtuali, ovvero alle interazioni più o meno avanzate tra uomo e computer, con specifico riferimento all’ambiente internet, anche detto online.
Il world wide web, e più genericamente l’interconnessione tra oggetti che dialogano attraverso una rete condivisa, ha reso l’informazione la risorsa più importante. Il dato è l’elemento chiave e di scambio tra le macchine e le applicazioni ivi risiedenti nonché tra queste ultime e l’uomo, in un ciclo continuo e interattivo di arricchimento reciproco. Da un lato esse migliorano il servizio fornito all’utente, sia in termini di esperienza che di utilità, dall’altro l’informazione è utilizzata per soddisfare bisogni e consentire nuove modalità di utilizzo dell’ambiente cibernetico.
Che cosa si intende per cyber risk
In ogni caso, lo scambio delle informazioni per qualsiasi persona e organizzazione necessita di alcune garanzie. In particolare, affinché il dato possa rappresentare un valore per l’ecosistema digitale, esso deve essere scambiato e reso disponibile preservandone la confidenzialità e l’integrità. Difatti, un dato indisponibile non rappresenta una risorsa per chi (sia esso uomo o macchina) necessita dei suoi elementi per portare a termine una o più attività. Similmente, un dato corrotto, perché modificato senza un criterio o un permesso da parte di chi gestisce quel dato, non rappresenta più un valore per alcuno. Infine, nel caso in cui un dato necessiti di un certo livello di confidenzialità, se questa venisse a mancare ne conseguirebbe l’immediata perdita di valore o una ricaduta negativa nei confronti di coloro i quali il dato si riferisce (es., finanziaria, reputazionale, ecc.).
Riassumendo, i principi di integrità, confidenzialità e disponibilità sono i fattori chiave per la gestione in sicurezza dell’informazione. Detti fattori, noti anche come CIA factors (dall’inglese Confidentiality, Integrity e Availability), sono pertanto gli elementi da considerare quando si individuano i parametri attraverso i quali si pianifica e si esegue una corretta impostazione della sicurezza informatica.
Di contro, data la complessità ormai raggiunta dall’ecosistema digitale, sussistono innumerevoli minacce ai fattori CIA e, di conseguenza, altrettante possibilità di perdita di valore del dato e del sistema che lo gestisce. Queste possibilità, per chi gestisce la security, sono analizzate congiuntamente agli impatti sui sistemi informatici e sulle informazioni qualora si concretizzino. Affinché ciò sia possibile, il primo passaggio è la corretta definizione di rischio cibernetico (in inglese cyber risk).
Internet e, più in generale, l’ecosistema digitale, offre molte opportunità e nuove minacce. Proprio per questo motivo, le domande che assillano gli utenti e le aziende che operano nel mondo digitale sono sempre riferibili ai fattori CIA. Infatti, sono prevalentemente riferibili a come sia possibile assicurare la confidenzialità, l’integrità e la disponibilità delle proprie risorse, con le quali operano nel mondo digitale.
Per fare alcuni esempi: l’informazione è custodita in maniera appropriata? Il sistema è affidabile o è già nelle mani di chi può sfruttarlo a fini malevoli? Cosa succederebbe se le informazioni non fossero più disponibili o accessibili quando necessario? Per trovare una risposta soddisfacente a queste domande, una delle strade più concrete è quella di procedere attraverso un processo di valutazione del rischio cibernetico.
L’analisi del cyber risk consiste nello stimare la probabilità che un evento avverso infici l’esperienza digitale dell’utente, così come dell’azienda nel suo complesso, prendendo in debita considerazione le implicazioni al verificarsi di tali occorrenze. Ciò significa capire qual è la probabilità che un danno derivante dalle risorse online si concretizzi.
Dal punto di vista matematico il rischio informatico è definito come la probabilità che un evento avverso si verifichi, moltiplicato per l’impatto che avrebbe questo evento sulle risorse informatiche gestite.
Comprendere questi due elementi che compongono il cyber risk, significa comprendere il valore delle risorse gestite (dati o informazioni), nonché la propria esposizione agli attacchi informatici. Infatti, semplificando, più si è esposti online e coinvolti nelle dinamiche dell’ecosistema digitale, più è probabile che un criminale informatico sia interessato ad ostacolare proprio queste attività, a proprio vantaggio (es. riscatti dovuti da ransomware). Di conseguenza, più è probabile che si sia oggetto di interesse da parte di hacker malintenzionati, più è alto l’impatto che un attacco può avere sul sistema informatico.
Identificare i rischi relativi alla sicurezza delle informazioni
Per identificare i rischi relativi alla sicurezza delle informazioni, quelli associati alla perdita di riservatezza, integrità e disponibilità delle informazioni, è necessario seguire un approccio tanto più rigoroso quanto più è complesso ed articolato il sistema informatico da tutelare e quanto più preziose sono le informazioni ivi presenti. Solo in questo modo sarà possibile procedere con la ponderazione del rischio, comparando lo stato attuale, grazie ai risultati dell’analisi ottenuti mediante dei criteri definiti precedentemente, con i risultati desiderati (anche noti in inglese come desired state). Tale processo porta ad identificare uno scostamento (anche noto come GAP) rispetto ad un ideale quadro di sicurezza informatica che tiene conto della specifica realtà cui si applicherebbe. Il passo successivo è l’individuazione delle priorità di trattamento del rischio.
Il processo di valutazione del rischio
Il processo di valutazione del rischio viene attuato in fase di revisione o di sviluppo di un sistema di gestione della sicurezza informatica (tra i più noti quello legato alla norma ISO 27001) e riesaminato almeno su base annuale. Inoltre, il processo è eseguito anche ogni qual volta ci siano variazioni rilevanti di tipo tecnico, normativo od organizzativo che impattano sui rischi relativi alla sicurezza delle informazioni. In questo modo è possibile tenere in considerazione buona parte delle fonti di rischio.
È bene tenere a mente che i fattori CIA sintetizzano egregiamente il risultato ottimale che si dovrebbe ottenere sull’informazione gestita. Tuttavia, il processo che porta alla mitigazione del rischio cibernetico è tanto più efficace quanto più si è in grado di procedere in maniera deterministica e di parametrizzare ciò che per sua natura è mutevole: il comportamento umano e la nascita di nuove vulnerabilità.
Pertanto, l’attività di risk assessment, la successiva fase di scostamento dal desired state e la mitigazione del rischio assicurano i medesimi risultati in tempi successivi solamente a parità di condizioni. Inoltre, se le modalità operative di esecuzione sono ben impostate e se gli strumenti di supporto al processo sono regolati per garantire uniformità durante le varie fasi di analisi, si potrà considerare i risultati come consistenti nel tempo.
Tutto ciò che non è deterministico introduce incertezza, come l’attività di un hacker che sfrutta una vulnerabilità non nota o un errore umano a cui il sistema non è preparato a rispondere. Ma questo grado di incertezza, se il processo di mitigazione del rischio è stato ben eseguito, dovrebbe rientrare nella casistica del c.d. rischio residuale.
I reati informatici
I reati informatici sono certamente causa di enormi danni ai singoli o alle organizzazioni, ma sono conseguenti ad un’azione attiva, commessa attraverso strumenti diretti o indiretti da parte di criminali informatici. Grazie alla comprensione dei fattori CIA è possibile includere nel rischio cibernetico detti strumenti, in particolare quelli indiretti, ovvero tutti gli elementi “passivi”. Questi elementi sono quelli derivanti dall’impostazione del sistema di sicurezza informatica, tenuto conto della specificità di quest’ultimo.
Fattori attivi e passivi dovrebbero essere entrambi previsti da un’attività di valutazione del rischio ben impostata. Infatti, il risk assessment ha come suo elemento chiave, iniziale, la definizione del contesto e dell’ambito in cui viene eseguito. Ovviamente la preparazione e l’esperienza del personale che esegue tale attività ha un impatto significativo sul risultato.
Le tre fasi del risk assessment
Inoltre, un’attività di valutazione del rischio ben articolata prevede tre fasi: identificazione del rischio, analisi del rischio e ponderazione del rischio tramite degli strumenti specifici per la realtà cui si applicano.
Identificazione dei rischi
Nella prima fase vengono identificati i rischi concernenti la sicurezza delle informazioni nel loro complesso. Proprio in questa fase si identificano gli elementi caratteristici che compongono le minacce cibernetiche, cioè del sistema informatico e del contesto cui si riferiscono. Infatti, il cyber risk è identificato sia dalla minaccia di generare un danno alla risorsa informatica (spesso definita come asset), sia dal livello di vulnerabilità di quest’ultima, cioè dalla possibilità che possa essere sfruttata da parte di terzi a danno del singolo o dell’organizzazione. Ne deriva che è impossibile impostare correttamente un sistema di sicurezza delle informazioni se non si ha contezza delle risorse gestite e della loro importanza.
Proprio per questo motivo viene eseguito il c.d. asset inventory, ovvero il momento in cui si identificano proprio gli asset di riferimento, catalogandoli in base al loro ruolo e utilità nella sicurezza del sistema informatico, compresa l’attribuzione di responsabilità da parte dei soggetti che li gestiscono. Questo perché l’identificazione delle informazioni e degli asset specifici da proteggere è da attribuire a chi gestisce tali informazioni, tipicamente i responsabili dei processi o delle strutture aziendali. In questo modo, può emergere sia il valore della sicurezza delle informazioni gestite in termini di riservatezza, integrità e disponibilità, sia la gravità e il danno nel caso in cui si concretizzi un incidente informatico.
Come accennato precedentemente, il danno informatico, anche noto come data breach può derivare sia da fattori umani sia da fattori tecnologici. Alla prima categoria sono riconducibili i criminali informatici, cioè coloro i quali cercano un tornaconto personale o provocano un danno deliberato ai danni della vittima, oppure il personale impreparato, che commette errori o azioni in maniera inconsapevole, ma che provocano ugualmente danni in termini di sicurezza delle informazioni. Nel secondo caso, ci si riferisce alle risorse informatiche coinvolte nella gestione delle informazioni, che possono danneggiarsi a causa di eventi naturali, di incidenti involontari, o diventare obsolete oppure essere mal configurate.
Analisi del rischio
Per quanto riguarda la seconda fase, quella di analisi del rischio, viene effettuato il calcolo moltiplicando la probabilità per l’impatto relativo ai diversi eventi indesiderati possibili. Una valutazione a tutti gli effetti delle possibili conseguenze che risulterebbero nel caso le minacce si concretizzassero. Ciò è reso possibile mediante metodi qualitativi, cioè riferiti a scale di valutazione, e quantitativi, stimando opportunamente la probabilità che la minaccia si concretizzi. Proprio per questo motivo è necessario il coinvolgimento delle persone che gestiscono gli asset nel perimetro di analisi. Anche in questo caso, l’esperienza del personale coinvolto nell’eseguire tale attività ha un impatto significativo sul risultato dell’analisi.
Ponderazione del rischio
Infine, nella terza ed ultima fase, quella di ponderazione del rischio, sono stabiliti i criteri di accettazione del rischio, ovvero i valori di riferimento rispetto ai quali saranno attuate le azioni di mitigazione del rischio. Tra questi criteri, a titolo esemplificativo, vi sono i vincoli di budget, determinati fattori organizzativi o tecnologici, vincoli temporali, legali o contrattuali. Considerando i suddetti valori, l’individuo o l’organizzazione procede con la classificazione dei rischi in base alla loro priorità, ovvero in base al livello più elevato di rischio e quindi definendo quale di essi non sia possibile considerare come accettabile.
Le modalità di trattamento del rischio
Di conseguenza, sono definite le modalità di trattamento del rischio. Queste spaziano dall’accettare il rischio, dal mettere in atto provvedimenti di mitigazione del rischio, fino ad arrivare alla non accettazione del rischio o all’esternalizzazione di quest’ultimo. Gli ultimi due casi si riferiscono rispettivamente, ad esempio, al caso in cui un determinato progetto venga scartato perché troppo rischioso, oppure nel caso in cui sia possibile assicurare il rischio tramite una polizza appositamente costruita.
Vale la pena sottolineare che le opzioni di trattamento sono solitamente di tipo preventivo, cioè finalizzate alla riduzione della probabilità che si verifichi un incidente informatico, o dell’impatto al verificarsi del rischio. In forma residuale, l’organizzazione opta per soluzioni di tipo assicurativo, cioè di copertura economica dell’eventuale danno, oppure decide di accettare il rischio e proseguire nelle attività senza alcun intervento.
Tenuto in considerazione quanto finora esposto, pare evidente che lo sforzo nell’applicazione delle azioni definite in risposta alle minacce informatiche individuate è rapidamente vanificabile in assenza di un monitoraggio continuo. Questo perché l’evoluzione dell’ecosistema digitale e delle risorse utilizzate per sfruttarne le potenzialità richiede costante attenzione e il cyber risk è diretta conseguenza della volontà di partecipare all’interconnessione globale.
L’evoluzione della rete, i rischi e gli attacchi informatici
L’evoluzione della rete è un tema, ormai, perennemente attuale: lo spazio cibernetico è parte integrante di una vasta parte delle attività personali e di business a livello globale, che evolve proprio grazie al maggiore e continuo coinvolgimento di tutti gli attori che ne fanno parte.
In effetti, questa evoluzione ha come obiettivo quello di migliorare e facilitare l’interazione fra le parti coinvolte nell’ecosistema digitale, trainando una rivoluzione industriale a sua volta spinta dall’adozione di nuove tecnologie c.d. abilitanti. Alcuni esempi sono l’interconnessione capillare e la collaborazione automatizzata tra sistemi eterogenei.
Il mercato globale sta in effetti cambiando, portando alla c.d. personalizzazione di massa, grazie a sistemi avanzati di produzione e di fruizione dei servizi tramite sistemi interconnessi e modulari. Questi permettono un livello di flessibilità e rendimento sempre più elevati, nonché la possibilità, appunto, di rendere adatto un prodotto per molti, alle esigenze specifiche di singoli. Tra queste tecnologie non si deve pensare unicamente a quelle rivolte ai consumatori finali, come ad esempio le applicazioni per gli smartphone o la strumentazione per la domotica o la telemedicina, ma al più ampio concetto di utilizzo della tecnologia in molteplici campi. Per fare alcuni esempi, si può far riferimento alla robotica avanzata, che oggi si affaccia sul mercato con i robot collaborativi o cobot, concepiti per interagire con l’uomo in uno spazio di lavoro non limitato, a differenza dei precedenti modelli a guida limitata e protetti da barriere. Ancora, si pensi all’additive manufacturing con i suoi sistemi di produzione additiva per aumentare l’efficienza dell’uso dei materiali, o alla realtà aumentata, per dare supporto agli operatori nello svolgimento delle attività quotidiane. Tra gli altri esempi, è poi utile ricordare anche i recenti sviluppi in ambito industrial internet, i cui elementi sono progettati per una comunicazione continua tra elementi eterogenei della catena di produzione industriale attraverso internet, senza dimenticare l’ormai noto cloud computing per l’archiviazione o l’utilizzo di servizi online, e così via.
Ciò premesso, considerando il concetto di rischio cibernetico o cyber risk descritto nel paragrafo precedente, appare evidente che l’evoluzione della rete e dei servizi disponibili online introduce un livello di complessità in costante crescita. Questo implica che le risorse coinvolte nell’interazione con la rete sono sempre maggiori, come maggiore è il valore che acquisisce nel tempo l’informazione e il sistema nel suo complesso. Infatti, le risorse tecnologiche e le informazioni sono oggi due elementi che non possono prescindere l’uno dall’altro nel mondo online: non c’è informazione senza interconnessione e tecnologie abilitanti, e viceversa.
Semplificando, l’esposizione online porta con sé il rischio di dover affrontare minacce eterogenee ed evolute provenienti dal web. Da un punto di vista didattico, la categoria dei rischi informatici è classificata come tutte quelle occorrenze che hanno una probabilità di concretizzarsi in un evento o un’azione indesiderata via Internet e che possono avere ricadute negative. Nella fattispecie, si parla di danneggiamento sia degli individui che delle organizzazioni tramite la compromissione degli elementi che compongono le risorse informatiche utilizzate, ivi inclusi i dati. Tali compromissioni possono avvenire sulla base di azioni intenzionali o non intenzionali, con un fattor comune denominato “vulnerabilità”. Queste ultime riguardano, sia gli utilizzatori, che sono uomini e macchine, sia le risorse messe a disposizione dai provider dei servizi web utilizzati.
Per i motivi suelencati, i rischi connessi al mondo online interessano tutti, in quanto minacciano proprio le reti private, che sono a tutti gli effetti considerabili come sottoreti connesse alla più ampio world wide web. Alcuni esempi di risorse di rete che possono aver un danno nel momento in cui il rischio cyber si concretizza sono le reti wi-fi e le reti domestiche, le intranet aziendali o quelle nazionali, gli host di rete specifici, tra cui gli endpoint aziendali, oppure i dispositivi personali. In virtù di questi esempi pratici, appare evidente che le minacce web non siano più ignorabili da alcuno, in quanto influiscono sulle performance del mondo virtuale interconnesso sia in termini di hardware e software, sia in termini di elementi che servono l’infrastruttura e i servizi web. Non solo, considerando il coinvolgimento dei dati personali in tantissime operazioni online, essi influiscono anche sulla vita delle persone che vi partecipano.
I due fattori alla base dell’information security
Le minacce web possono essere categorizzate tramite i due fattori che sono alla base dell’information security:
- il fattore umano, ovvero l’uomo che interagisce con gli altri utenti o con il sistema informatico;
- il fattore tecnologico, ovvero le singole risorse o i sistemi organici che compongono il sistema informatico.
In entrambi i casi, si parla di minaccia web laddove l’elemento scatenante o determinante è proprio internet, ovvero la presenza di quest’ultimo come fattore distintivo tra le ricadute in termini di danno inflitto al soggetto che utilizza un sistema informatico.
Anche se non tutte le minacce web sono l’espressione di un’azione deliberata da parte di un criminale informatico, molte hanno un potenziale del tutto equivalente, poiché possono portare al rifiuto di accesso ai servizi o ai dati online, ad esempio; o al contrario, a consentire l’accesso o l’uso non autorizzato o indesiderato di computer e servizi di rete privati.
Negli ultimi anni le minacce web sono cresciute in modo significativo. Questo perché il vettore di diffusione per malware, frodi e attacchi in generale è cresciuto per mezzo delle tecnologie intelligenti interconnesse attraverso le reti fisse e mobili ad alta velocità. L’adozione sempre più diffusa dell’Internet of Things (IoT) e delle tecnologie, in grado di facilitare la vita personale tanto quanto quella aziendale, ha effettivamente amplificato il potenziale pervasivo che queste tecnologie oggi hanno, cui però non è seguito un aumento della consapevolezza della necessità della sicurezza informatica. Utenti e imprese fanno sempre più affidamento al web per i propri affari; parimenti, sta crescendo l’attrattività per i criminali informatici di sfruttare massivamente questa esposizione online. Pertanto, è di fondamentale importanza diffondere l’idea che la mancanza di cautela nell’utilizzo consapevole del web è, e sarà, tra le principali minacce per la privacy e la sicurezza online.
Ad oggi, le vulnerabilità informatiche sono definite come qualsiasi debolezza del comportamento umano, dei sistemi tecnologici o di altre risorse informatiche che possono portare a un c.d. exploit o ad un data breach.
La violazione del sistema informatico in una o tutte le sue componenti è la conseguenza delle vulnerabilità e può avere ricadute anche in termini di violazione dei dati personali. Alcuni componenti delle minacce web sono generici, come l’intenzionalità da parte di un hacker di alterare il sistema informatico di un’azienda. Viceversa, altri componenti sono specifici, come le vulnerabilità legate ad un prodotto peculiare utilizzato dall’organizzazione o quando vengono diffuse in rete informazioni che possono facilitare il criminale informatico nell’attività di social engineering. Quest’ultima occorrenza si ha quando è possibile ricostruire il profilo della vittima grazie alla presenza di tante informazioni a lui riferibili e alla sua partecipazione su piattaforme social e simili.
Quando queste diverse componenti si combinano e interagiscono, una minaccia web ha la massima probabilità di concretizzarsi ed il sistema informatico è a rischio concreto di data breach.
I rischi derivanti dal web sono diretta conseguenza dell’intento criminoso da parte dell’hacker, che vorrà attuare, ad esempio, una frode di tipo finanziario, oppure chiedere un riscatto con specifiche ritorsioni oppure, effettuare un sabotaggio e altro ancora. Per far ciò, gli hacker agiscono per mezzo di quelli che, in gergo tecnico, sono definiti “agenti di minaccia”, ovvero tutti gli strumenti che possono essere sfruttati per agire ai danni della vittima.
Gli agenti di minaccia
Gli agenti di minaccia si dividono in due categorie principali:
- agenti umani – essi includono codice dannoso (es., virus, malware, worm, script, ecc.), guasti tecnologici (es., hardware, software, mezzi di comunicazione) o eventi naturali (es., meteorologici, geologici);
- agenti non umani – essi possono essere sia intenzionali, cioè portati a termine o favoriti intenzionalmente da personale interno all’organizzazione, sia accidentali, cioè sono dovuti ad errori umani, comportamenti negligenti o sviste di sicurezza.
I criminali informatici, soprattutto quando hanno un obiettivo specifico e ben individuato, tenteranno di utilizzare tutti gli agenti di minaccia a loro disposizione per condurre un attacco. Fortunatamente, questa attività è onerosa, perché le informazioni devono essere cercate, individuate ed elaborate e molti sistemi hanno impostazioni di sicurezza di default che possono rallentare questa attività.
Detto ciò, l’attività di un hacker criminale, in prima istanza, prevede di ridurre al minimo lo sforzo per trovare gli agenti di minaccia a lui favorevoli. Pertanto, per individuare un target semplice da colpire, la maggior parte dei criminali informatici oggi è intenta a sviluppare minacce web progettate per essere massive, cioè che prendano di mira i sistemi operativi e le applicazioni più comuni.
Per fare alcuni esempi, si pensi in prima battuta ad un elemento comune a tanti sistemi IT, java: poiché è installato su oltre 3 miliardi di dispositivi e lavora sulla maggior parte dei sistemi operativi, creare uno specifico exploit per indirizzare specifiche vulnerabilità consente di raggiungere in un solo colpo tantissimi soggetti. Lo stesso può valere per altri software o sistemi operativi oggi in circolazione, tra i quali Adobe Reader o più genericamente Windows, per i quali tantissimi exploit sono stati progettati dai criminali del web e sono ancora attivi, continuando a colpire vulnerabilità rilevate già nel 2010.
In sintesi, le minacce web più preoccupanti sono quelle che sono progettate per attaccare più sistemi. I numerosi canali di comunicazione utilizzati dagli individui e dalle organizzazioni amplificano questo effetto, e la velocità con cui i servizi online crescono non fa che aiutare il diffondersi di questi tipi di agenti di minaccia. Infatti, siti web pubblici, social media, forum web e le e-mail rappresentano strumenti ideali per diffondere una minaccia web di massa. Questo perché gli utenti vengono attratti e incuriositi attraverso interfacce del tutto simili a quelli affidabili ed originali per stimolare l’interazione con URL dannosi, oppure ad effettuare download o fornire informazioni sensibili a portali di acceso web compromessi. In questo modo, è piuttosto comune che gli utenti web, inconsapevoli, diventino loro stessi agenti di minaccia.
Indipendentemente da ciò o dalla specifica causa, un attacco web solitamente non si limita ad alterare i servizi presenti nel primo punto di accesso della minaccia. Al contrario, esso ha un impatto anche sulle sottoreti o quelle connesse al punto di accesso, ivi inclusi i terminali eventualmente collegati (come nel caso dell’internet delle cose, dall’anglosassone internet of things, da cui l’acronimo IoT).
Un attacco web può realizzarsi attraverso reti wi-fi o reti ethernet domestiche e intranet aziendali, per elencare alcuni esempi. In questi casi, tipicamente, i server web sono alterati o danneggiati. Allo stesso modo, subiscono danni anche i dispositivi host di rete, tra cui gli endpoint aziendali e i dispositivi personali, inclusi gli smartphone, che smettono di essere affidabili o funzionanti.
Tra gli attacchi provenienti dal web, i più noti e diffusi sono certamente quelli legati al phishing, solo secondariamente gli attacchi sono eseguiti tramite lo sfruttamento degli exploit. La loro azione combinata porta alle conseguenze oggi note ai più: modifiche non autorizzate ai computer bersaglio e ai servizi presenti per mezzo dell’esecuzione di codice dannoso presente in un allegato o in un link, nonché la sottrazione o il blocco dei dati con richiesta di riscatto.
Tramite un allegato e-mail o il download da un link dall’aspetto legittimo, il cyber criminale può veicolare un programma o un codice dannoso, autoreplicante che si diffonde rapidamente in tutto il sistema informatico della vittima.
Il codice dannoso è noto come virus, o malware, e spesso ha tutte le caratteristiche per sembrare un software legittimo, ma gli effetti sono devastanti. In altri casi gli impatti non sono immediati, come nel caso degli spyware, che sono utilizzati per acquisire dati nel corso del tempo, quali numeri di carta di credito, carte di identità e così via. Altro esempio di codice dannoso è il tristemente noto ransomware, che blocca i file e i dati di un utente minacciando la distruzione o la divulgazione delle informazioni carpite se non viene pagato un riscatto in tempi prestabiliti.
Per quanto riguarda invece gli exploit, essi sono un mezzo più diretto per realizzare abusi informatici intenzionali da parte dell’hacker criminale, in quanto vengono individuate e sfruttate le vulnerabilità del sistema. In questa casistica sono noti gli attacchi detti di forza bruta: un sistema che non prevede, sui propri punti di accesso, una tutela circa la reiterazione massiccia di tentativi di login su user name e password, può essere vulnerabile ai tentativi manuali o automatizzati di accedervi. Ovviamente, il fattor comune di tutti gli attacchi informatici è l’obiettivo: lo sfruttamento di una vulnerabilità con l’intento di danneggiare il soggetto che subisce l’attacco. Quello che cambia è semplicemente il modo con il quale il criminale informatico esegue la sua attività di sfruttamento delle vulnerabilità.
Individuare una minaccia web richiede preparazione ed attenzione. Alcune minacce per l’hardware dell’infrastruttura web sono facilmente individuabili, soprattutto in determinati contesti, quali data center in ambienti montani, nei quali agenti naturali come acqua o slavine sono una minaccia alla loro operatività. In altri contesti le minacce sono meno facili da identificare, poiché richiedono un’attenzione particolare, in quanto derivano dall’errata configurazione del sistema di sicurezza, come nel caso di un Web Application Firewall (WAF) lasciato ai suoi parametri di default o alla negligenza di un operatore che naviga su molteplici siti web senza verificarne l’affidabilità o risponde a messaggi digitali che poi si configurano come tentativi di phishing.
Fortunatamente la maggior parte dei tentativi di attacco non sono, per così dire, personalizzati. L’hacker generico difficilmente intende colpire un’azienda o un individuo specifico, senza prima aver condotto altre azioni che lo porteranno a scegliere proprio quel soggetto. Ad eccezione di provocazioni o atti dimostrativi, che rappresentano una quota esigua e trascurabile degli attacchi odierni compiuti ai danni di persone o imprese, la stragrande maggioranza dei reati cibernetici avviene secondo un processo standard.
Le quattro fasi di un attacco hacker
Infatti, è possibile suddividere l’attacco hacker in quattro fasi distinte. La prima fase dell’attacco è quella c.d. di ricognizione: l’hacker procede per tentativi. Le e-mail di phishing rappresentano non solo il metodo più comune ed efficace per distribuire virus in questa fase, ma sono anche il metodo meno oneroso per l’hacker di preparare le basi per un attacco mirato. Quanto più la mail di phishing risulta personalizzata, cioè costruita in base al profilo dell’utente che la riceve, tanto più l’hacker ha condotto analisi sul web per comprendere il profilo ideale da colpire. Tuttavia, è piuttosto comune in questa fase vedere e-mail di phishing completamente generiche, con evidenti errori di ortografia, che però, in ogni caso, vanno a segno a causa di una completa impreparazione di chi le riceve. Pertanto, il successivo elemento chiave, è l’acquisizione della fiducia dell’utente-vittima. Tipicamente ciò viene portato a termine fingendosi istituzioni, persone legittimate ad effettuare una certa richiesta, oppure replicando siti web popolari o punti di accesso per richiedere le credenziali.
Nella seconda fase, l’hacker utilizza le informazioni raccolte per individuare i target più semplici da colpire, raccogliendo ulteriori informazioni, per poi tentare un ingresso nella rete bersaglio. In questa fase l’attacco comincia a diventare mirato, ad esempio attraverso la creazione di e-mail di phishing credibili perché costruite sulla base del profilo della vittima (il c.d. spear phishing). Un’altra tattica tipica dell’hacker è quella di creare dei c.d. abbeveratoi, cioè pagine web false che sembrano, in tutto e per tutto, le pagine istituzionali di fornitori o banche. In entrambi gli esempi, lo scopo del criminale informatico è quello di acquisire le credenziali di autenticazioni o diffondere un malware attraverso un link di download.
In ogni caso, tutto ciò è possibile grazie ad un minuzioso lavoro di ingegneria sociale (in inglese social engineering) che ha come obiettivo quello di ricostruire il profilo della vittima, per portarla ad agire inconsapevolmente contro i propri interessi.
Grazie a questa attività possono emergere preziosissime informazioni, dall’intervallo di indirizzi IP della rete da colpire, a possibili user name e password. Difatti, il social engineering consente, in moltissimi casi, di risalire alla società o al sito web di riferimento della vittima, alle risorse di contatto online della vittima o ad essa adiacenti, e i social web (es. Linkedin o Facebook) sono ancor oggi le fonti primarie per questo tipo di attività.
Sebbene rimanga un’attività onerosa, il lavoro di social engineering è oggi molto più difficile che in passato. Proprio tra i servizi disponibili online (anche gratuiti) l’hacker possiede numerosi strumenti per ridurre lo sforzo in questa fase, soprattutto quelli nati per tutt’altri scopi, come l’analisi forense.
Per fare un esempio, in quest’ambito il software Maltego è tra i più noti di sempre: l’applicazione è progettata per l’analisi online delle relazioni tra persone, gruppi, pagine web, domini, reti, infrastrutture Internet e affiliazioni ai social media e così via. Grazie a questa attività e alla possibilità di integrazioni con vari partner di dati (es. record DNS, whois, API e vari metadati), chiunque può estrarre informazioni da fonti eterogenee e mapparle visivamente, per esplorare il network di dati e di relazioni di uno specifico soggetto, determinandone un profilo molto dettagliato.
Con un tale bagaglio informativo, messo proprio a disposizione dalla rete internet, l’hacker può passare alla fase successiva di test: cominciare a sondare le possibilità di ingresso alle risorse informatiche bersaglio e collezionare una serie di informazioni utili per portare a termine l’attacco. Anche per questo tipo di attività, il web ha fornito una notevole spinta nella diffusione di strumenti utili all’hacking, sia esso etico che criminoso. Infatti, se da un lato i tool disponibili sul web possono essere usati a fin di bene, cioè per migliorare la sicurezza informatica laddove esistono delle falle individuate proprio grazie ad un penetration test (noto anche con l’acronimo inglese PT), dall’altro consentono di avvantaggiare anche utenti malintenzionati.
L’esempio oggi più noto in quest’ambito, nato per scopi di hacking etico, è Kali Linux: una distribuzione GNU/Linux basata su Debian pensata per l’informatica forense e la sicurezza informatica, in particolare per effettuare penetration testing. Grazie ad esso è possibile individuare migliaia di vulnerabilità oggi esistenti su molteplici sistemi informatici. Vulnerabilità che possono essere sfruttate dall’hacker etico per aiutare l’azienda, oppure dal criminale informatico per danneggiarla, proprio come un’arma da fuoco, tutto sta a chi la utilizza e per quale scopo, difensivo oppure offensivo.
Per quanto riguarda la quarta e ultima fase dell’attacco, molto sinteticamente, quando sono riconosciuti i punti di accesso al sistema IT, l’hacker malevolo ottiene l’accesso e punta a stabilire un accesso di tipo continuativo. Infatti, una volta che il criminale ha stabilito una connessione alla rete interna, ha come obiettivo quello di espandere il più possibile i punti di appoggio per successivi attacchi, trovare i dati per lui in target, oppure guadagnare i livelli di privilegi massimi, quelli di amministratore di sistema. In questa fase è ormai estremamente difficile individuare l’intruso in quanto l’attaccante spesso opera come un utente autorizzato. Così, i dati in target vengono sottratti, i sistemi critici sono corrotti e le operazioni di business sono conseguentemente interrotte, e l’hacker criminale può cancellare le prove del proprio attacco, ad esempio modificando i registri degli eventi, facendo sembrare che nessuna intrusione abbia effettivamente avuto luogo.
Per concludere, è innegabile che l’evoluzione della rete stia offrendo tanto a chi sa cercare, e lo farà sempre di più, poiché la condivisione dell’informazione e la creazione di strumenti di comune utilità stanno semplificano notevolmente la vita reale di ogni utilizzatore. Rimane cruciale la finalità con cui si utilizzano questi strumenti e queste informazioni, cioè a favore o a danno dell’utente.
Il concetto di sicurezza informatica
La sicurezza informatica (in inglese information security) è l’insieme dei mezzi, tecnologie e misure organizzative volto alla protezione delle risorse informatiche (anche note come asset) in termini di disponibilità, confidenzialità e integrità.
Le minacce informatiche continuano a livello globale ad evolversi ad un ritmo incessante, con la conseguenza del verificarsi di un numero crescente di violazioni dei sistemi informatici ogni anno, anche noti come data breach. Laddove uno dei fattori CIA (acronimo inglese per Confidentiality, Availability, Integrity) non è più garantito, il sistema informatico non è più sicuro. Infatti, qualora un sistema informatico non possa più garantire che l’informazione gestita sia custodita propriamente, che sia disponibile nel momento di necessità e rimanga inalterata per garantirne l’autenticità, esso perde di valore per chiunque.
La sicurezza informatica è quella disciplina che si prefigge l’obiettivo di mantenere inalterato il valore degli asset informatici custoditi all’interno di un sistema informatico contro le minacce cibernetiche, soprattutto quando si parla di informazione o dato, sia esso personale che aziendale. Un’attività che prevede il confronto quotidiano con l’enorme e varia attività perpetuata dalla criminalità informatica, che prende di mira i sistemi IT per un guadagno economico diretto o per causare interruzioni ai servizi online. In questa seconda fattispecie rientra la casistica del c.d. cyber terrorismo, il cui scopo è alterare e compromettere i sistemi informatici di istituzioni, aziende e cittadini pubblicamente esposti per causare panico o paura.
In estrema sintesi, è intuibile come la sicurezza informatica si concretizzi nel lavoro incessante di sicurezza dell’informazione, perché è il bene digitale più prezioso.
L’informazione, ovvero l’insieme di dati che la compongono, è centrale in un sistema informatico in quanto è motivo della sua esistenza, dalla progettazione allo sviluppo e manutenzione. L’informazione è, per definizione, conoscenza, quindi deve avere un valore per il singolo tanto quanto per diversi individui, siano essi organizzati o meno.
Perché l’informazione è essenziale
Schematicamente, l’informazione è essenziale in quanto:
- consente la condivisione e la diffusione delle competenze;
- permette di prendere decisioni consapevoli;
- fornisce un vantaggio competitivo a chi è in grado di sfruttarla;
- permette di misurare e tracciare i risultati di un determinato lavoro;
- fornisce gli elementi per poter agire in qualsiasi luogo le persone si trovano e senza particolari vincoli temporali.
Ciò premesso, sono intuibili le conseguenze di un’informazione i cui fattori CIA non sono garantiti.
Quando i dati non sono affidabili è perché sono già nelle mani di chi può impedire al soggetto che li richiede di raggiungere i propri obiettivi. Similmente, il dato non ha più valore perché ha subito modifiche incontrollate in una qualsiasi delle fasi di trattamento, oppure perché non è disponibile nel momento di reale necessità.
Concentrando in un esempio il problema congiunto della mancanza di integrità, confidenzialità e disponibilità, è possibile fare riferimento al caso di un referto medico necessario per compiere un’operazione d’urgenza: cosa accadrebbe se i valori in esso contenuti fossero alterati? Oppure, cosa accadrebbe se non fossero disponibili o se fossero resi noti e diffusi a chiunque?
In tutti i casi suesposti, l’impatto della compromissione del dato si rifletterebbe direttamente sulla salute e sul diritto alla privacy del paziente cui si riferisce il referto medico.
Molto genericamente, i dati e le informazioni nel loro complesso sono trasmessi attraverso mezzi elettronici, sia analogici che digitali, ma anche attraverso l’uomo. Proprio per questo fatto, quando si parla di sicurezza informatica si parla dei suoi due elementi chiave: il fattore tecnologico ed il fattore umano.
Poiché è l’informazione nel suo complesso, e non il dato atomico, che guida l’impostazione di un’infrastruttura tecnologica, allora si parla di information security, ovvero della azioni atte a garantire la sicurezza in termini di integrità, confidenzialità e disponibilità dei sistemi utilizzati per raccogliere, conservare, modificare, trasmettere e cancellare le informazioni. Quest’ultime sono composte dai dati, ma nel complesso l’informazione diviene conoscenza, e l’information security si occupa, appunto, di difendere sia il dato, sia l’informazione che la conoscenza.
Come accennato, poiché questi sistemi coinvolgono anche l’uomo e le sue attività sul sistema informatico (genericamente descritto attraverso il termine inglese Information and Communication Technology system o sistema ICT), la sicurezza delle informazioni si occupa anche delle azioni necessarie da attuare sul fattore umano.
Ovviamente, la sicurezza informatica è applicabile ad un’ampia varietà di contesti, proprio grazie alla diffusione della tecnologia in tutti gli ambiti, ed è grave l’errore commesso da alcuni nel ritenerla applicata semplicemente quando sono utilizzati strumenti antintrusione, quali l’antivirus.
Difatti, se prendiamo in considerazione il primo dei CIA factors (in italiano parametri RID), ovvero la confidenzialità, cioè la riservatezza dell’informazione, non si tratta di garantire esclusivamente che il dato sia “segreto”. Al contrario, il dato deve essere mantenuto inaccessibile e non rivelabile a chi non ne ha il diritto ad accedervi. Pertanto, una corretta impostazione della riservatezza implica la capacità di gestire chi, quando e in che modo ha accesso all’informazione.
Considerando invece il secondo parametro RID, ovvero l’integrità, ci si riferisce, come già indicato, alle attività volte ad evitare che il dato sia alterato in modo non autorizzato, inclusa la sua cancellazione. Anche in questo caso, l’information security si occupa di stabilire quell’insieme di regole che governano il diritto di agire sul dato, in particolare chi, quando e in che modo ha diritto alla modifica dell’informazione.
Si evidenzia che il concetto di autenticità ricade proprio all’interno della definizione di integrità, poiché la modifica non autorizzata implica la non autenticità dell’informazione. Non solo, anche il concetto di non ripudiabilità ricade all’interno dell’integrità del dato. La non ripudiabilità è un concetto importantissimo in tanti contesti, tra cui quello legale. Si pensi ad esempio alla firma apposta su un documento che deve essere non ripudiabile, come un contratto.
Per quanto riguarda il terzo ed ultimo parametro RID, ovvero la disponibilità, la sicurezza delle informazioni regola in che modo e in che tempi le informazioni ed i dati sono resi disponibili a chi li richiede e ne ha il diritto.
Il ripristino e la continuità dei sistemi informatici sono un’estensione del parametro di availability, e definiscono il modo in cui un sistema risponde ad un data breach o a qualsiasi altro evento che possa causare la perdita di disponibilità delle operazioni sui dati o di questi ultimi. I criteri di ripristino di emergenza stabiliscono come l’organizzazione può tornare allo stato operativo esistente prima dell’incidente informatico.
Similmente, ma con connotati specifici, si parla di continuità aziendale (in inglese business continuity) quando ci si riferisce alle operazioni in grado di consentire all’organizzazione di continuare ad operare in assenza di determinate risorse, perché venute meno, ad esempio, a causa di un incidente informatico causato da un evento naturale.
In maniera trasversale, ovvero con impatto su tutti i parametri RID, vi è la preparazione e la competenza delle persone, il c.d. fattore umano, ovvero l’elemento della sicurezza informatica riconosciuto come il più imprevedibile.
La formazione, l’educazione e la preparazione specifica nei confronti degli agenti di rischio e del cyber risk nel loro complesso sono un altro elemento fondamentale della sicurezza informatica.
Si parla invece di governance della sicurezza delle informazioni quando ci si riferisce all’uso delle risorse per garantire l’effettiva implementazione di un Sistema di Gestione della Sicurezza Informatica (noto con l’acronimo SGSI). Quest’ultimo, a sua volta, è il complesso delle azioni da porre in essere, in maniera continuativa e migliorativa, per garantire la sicurezza delle informazioni.
Governance e SGSI devono essere eseguite propriamente e contemporaneamente: l’implementazione di misure (anche dette controlli) di sicurezza senza una strategia, obiettivi chiari e decisioni consapevoli, può portare a scelte inefficienti, persino dannose
Applicare in maniera appropriata la sicurezza informatica significa, in ultima istanza, proteggere sia il dato, sia l’utente finale. Dopotutto, è proprio quest’ultimo che genera l’informazione, ne è il principale utilizzatore, ma è anche il possibile veicolo di agenti malevoli, quali i malware, attraverso il dispositivo (in inglese noto come end point).
Conclusioni
In conclusione, la sicurezza informatica è una disciplina complessa e mutevole, poiché cambia con l’incedere della tecnologia e dei rischi ad essa connessa. Si è visto nei paragrafi precedenti che, ad esempio, i programmi di sicurezza informatica possono limitare l’esecuzione di codice malevolo, identificarlo o prevenirlo, e sono efficienti esclusivamente per lo specifico compito cui sono stati progettati. Viceversa sono inadeguati e insufficienti per affrontare gli altri possibili agenti di minaccia informatica, come ad esempio un attacco hacker. Pertanto, solo un approccio che comprenda sia la governance che l’implementazione di un sistema informatico potrà consentire ad un’organizzazione di effettuare il delicato e continuo percorso verso la sicurezza delle informazioni.
Tratto dal volume Cybersecurity & Cyberwarfare a cura di M. Iaselli e G.B. Caria – EPC editore