Passa ai contenuti principali

Cybersecurity e fattore umano

Immagine
di

Anche se breve la storia della sicurezza informatica ha già le sue tappe e le sue svolte. Fino a qualche anno fa proponevamo sistemi che si fondavano sulla sicurezza perimetrale, basati essenzialmente su firewall e antivirus. Queste erano anche le best practices imposte dalle misure minime di sicurezza del Codice della Privacy (D.Lgs. 196/2003) che infatti era una legge che nasceva agli albori degli anni 2000 ereditando la filosofia mainstream degli anni novanta basata essenzialmente sul "fortino". Oggi l'efficacia di questo sistema difensivo non è più quella di un tempo perché questi sistemi non tengono conto della più grossa vulnerabilità dei moderni sistemi informatici: il fattore umano.

Ma ripercorriamo brevemente la storia delle principali minacce cyber nel corso degli ultimi 40 anni:
  • anni 70, arrivano i primi hackers chiamati "phreakers" il cui scopo era quello di manomettere gli apparati telefonici per fare chiamate gratis
  • anni 80, arriva il primo virus Brain (1986) che infettava il boot sector dei Floppy Disk ed il primo antivirus scritto dal tedesco Bernd Fix (1987)
  • anni 90, il primo phishing colpisce AOL per carpire le credenziali degli utenti, primo attacco DDos, gli auto dialer colpiscono modem e reti ISDN
  • anni 2000, adware, truffe pubblicitarie, click fraud
  • 2010, minacce sempre più sofisticate, automatizzate e diffuse
  • Oggi ... salto di livello, il cybercryme diventa un'industria che investe milioni di dollari, i suoi proventi sono paragonabili a quelli di altre categorie di reati come il narcotraffico. In Italia sono colpiti migliaia di enti pubblici, aziende di tutti i tipi, alcune delle quali strategiche per il paese  
Sostanzialmente cosa sta accadendo? Se fino ad oggi la concezione era quella di mettere la rete locale all'interno di un fortino protetto nel quale gli utenti potevano fare un po' quello che volevano. Questo tipo di impostazione basata sulla difesa perimetrale spesso si è rivelata non adeguata, obsoleta, in ogni caso non sufficiente. Chi si è occupato di sicurezza informatica o ha svolto il compito di amministratore di sistema di una rete informatica negli ultimi due anni, certamente si sarà reso conto di come spesso le penetrazioni sono state l'effetto di errate valutazioni del rischio cyber da parte degli utenti del sistema. Il lato umano è diventato quindi l'anello debole di tutto il sistema a cui associare un alto fattore di rischio. Ma come fare per fronteggiarlo? Sicuramente la formazione è uno dei pilastri fondamentali richiamato anche dal nuovo regolamento europeo 679/2016 nei compiti del Data Protection Officer (Articolo 39, comma b) ove si cita espressamente la sensibilizzazione e la formazione del personale che partecipa ai trattamenti dei dati.

Nel momento in cui il cybercrime ha scelto di agire sul lato umano sono venute alla luce tutta una serie di cattive abitudini legate al corretto utilizzo degli strumenti informatici all'interno di una rete aziendale. Tra cui per esempio la scelta di password troppo semplici, troppo corte, sempre le stesse per accedere ai social, alla raccolta a punti del supermercato, al sistema informatico aziendale.

Siamo quindi di fronte alla necessità di un cambiamento epocale di strategia. In questo processo ci possono tornare utili tecniche di intelligenza artificiale, già oggi utilizziamo algoritmi di machine learning in molti altri ambiti tecnologici quali:
  • motori di ricerca
  • auto a guida autonoma
  • riconoscimento vocale
  • pubblicità contestuale
  • filtri anti-spam
  • riconoscimento della scrittura
  • riconoscimento facciale
Dobbiamo quindi passare ad adottare tecniche di difesa proattiva di cui i sistemi di profilazione degli utenti possono essere un passaggio decisivo.



Secondo un recente studio eseguito da Forrester Research pubblicato su Forbes, gli investimenti in intelligenza artificiale (AI) nel 2017 avranno un incremento del 300% rispetto al 2016. Tra quest, i sistemi di sicurezza contestuale si basano su algoritmi di intelligenza artificiale e saranno il futuro della sicurezza informatica, hanno molti aspetti che li differenziano dagli altri sistemi di strong authentication.

Sostanzialmente gli algoritmi implementati tracciano un profilo comportamentale legato alle credenziali di accesso dell'utente che coinvolgono tutta una serie di parametri. Anche se non ce ne accorgiamo ognuno di noi ha un suo modo di utilizzare il computer, una tempistica nel fare l'accesso, una serie di azioni fatte sulle applicazioni e sui dati, orari di accesso che possono essere registrati ed inventariati dalla macchina che crea un profilo personale per ogni login name. A questo punto ogni attività classificabile come anomala per quel determinato utente può essere bloccata dal sistema e segnalata all'amministratore di sistema per la verifica, se dal controllo risulta che l'azione è regolare allora può essere autorizzata con l'immissione di un codice di controllo.






Labels:

Commenti

Posta un commento

Post popolari in questo blog

CISO e DPO: interazione e compatibilità tra due figure strategiche nella difesa dei dati

di
Col recepimento della NIS2 in attuazione della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione, sentiremo sempre più spesso parlare della figura professionale del CISO che è l'acronimo inglese di Chief Information Security Officer. In questo articolo esaminiamo il rapporto tra questa figura attinente alla sicurezza informatica e quella del Responsabile della protezione dei dati RPD conosciuto anche con l'acronimo di DPO (Data Protection Officer) come disciplinato dal Regolamento europeo sulla protezione dei dati personali (UE) 2016/679. Diciamo subito che entrambe sono figure che operano nell'ambito della sicurezza dei dati, con ruoli distinti ma complementari. Ecco una panoramica di ciascun ruolo e delle loro possibili interazioni. Ruolo del CISO: Il CISO è responsabile della sicurezza delle informazioni e dei sistemi aziendali. Si occupa della gestione dei rischi legati alla sicurezza informatica, della...
Posta un commento
Continua a leggere »

La natura del dato genetico, cosa sappiamo del data breach di 23andMe

di
Ormai non passa giorno che non si abbia notizia dalla stampa di settore e perfino dalle cronache cittadine di nuovi data breach, notizia recente quella della vendita nel dark web di dati di un noto istituto di analisi fiorentino e fa certo scalpore che in queste violazioni siano coinvolte organizzazioni anche ben strutturate, ma certo il data breach di 23andMe , azienda leader del settore dei test genetici fai da te, lascia davvero stupefatti soprattutto per la facilità con la quale è stato perpetrato: l'attaccante non ha dovuto scrivere neanche una riga di codice! Cosa sappiamo? In una recente comunicazione agli iscritti è l'azienda stessa a fare luce sui fatti e a dare le prime indicazioni agli utenti, leggiamo insieme la traduzione in italiano del comunicato di 23andMe: Di recente abbiamo appreso che alcune informazioni del profilo, che un cliente crea e sceglie di condividere con i propri parenti genetici nella funzione DNA Relatives, sono state accessibili da singoli acco...
Posta un commento
Continua a leggere »

Come smaltire in sicurezza i documenti cartacei.

di
Aziende, enti, liberi professionisti e privati cittadini spesso trascurano di smaltire in maniera corretta i documenti cartacei, eppure tante attività di HUMINT (acronimo di HUman INTelligence) si basano proprio sul recupero di materiale cartaceo smaltito in maniera scorretta, non avete idea di quante informazioni interessanti si possono ottenere rovistando nella spazzatura della persone e in effetti questa è una delle prime attività che viene assegnata alle reclute delle agenzie di intelligence.  Per questo occorre adottare una procedura per il corretto smaltimento dei documenti cartacei. I rischi sono che dati personali di natura particolare, numeri di carte di credito, password appuntate, dati giudiziari possano essere facilmente recuperati e utilizzati da soggetti non autorizzati al trattamento per scopi fraudolenti o illegali. Inoltre lo smaltimento o il recupero non deve recare pregiudizio all'ambiente, in Italia la materia è disciplinata dal D. Lgs. 152/2006. Ecco alcuni sug...
Posta un commento
Continua a leggere »