Nelle ultime settimane hanno suscitato particolare clamore le parole di Paola Pisano, Ministro per l’Innovazione digitale riguardo alla password unica statale per l’identità digitale.
Ovviamente il nostro interesse non è sul confronto politico ma piuttosto su quello strettamente tecnico.
Per comprendere meglio il tema, riportiamo un estratto delle parole del Ministro con la volontà di analizzare, da un punto di vista della sicurezza informatica e della inclusione digitale, alcuni concetti che riteniamo fondamentali per l’IT sia a livello personale che aziendale:
“Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali della Pubblica Amministrazione” “potrebbero essere utilizzate per accedere anche ai servizi del privato”.
In questa affermazione si possono distinguere due temi principali:
- La volontà di fornire ai cittadini delle credenziali univoche che consentano di accedere in maniera rapida e regolamentata ai rapporti con le PA (cosa che già avviene tramite il sistema SPID).
- La prospettiva di unire alle credenziali univoche per i cittadini fornite dall’istituzione pubblica, anche l’accesso ai servizi dei privati, come ad esempio, e-commerce e conti online.
Su questo secondo punto si concentra la nostra analisi che si fonda sul dilemma affrontato da tutti gli operatori professionisti nel settore IT: viene prima la sicurezza o la praticità d’uso? Quale è il punto di bilanciamento?
Per dare una risposta possiamo prima di tutto analizzare alcune cifre:
- Nel primo semestre del 2019 sono stati dichiarati 3800 data breach
- Questi data breach hanno portato all’esposizione di 4,1 miliardi di record compromessi (per record si intende la singola riga di un database, in cui sono presenti tutti i dati di un utente)
- Dei dati violati, il 70% conteneva indirizzi email e il 65% conteneva password
(Fonte: https://pages.riskbasedsecurity.com/2019-midyear-data-breach-quickview-report)
Basandoci su questi dati e sulle esperienze che abbiamo maturato sul campo in oltre 20 anni, crediamo che la sicurezza debba avere la priorità, anche a discapito di una porzione di usabilità.
Preferireste impiegare 30 secondi in più per inserire una password diversa per ogni servizio o usare una password unica, che ricordate facilmente, che vi fa guadagnare pochi secondi ogni volta ma allo stesso tempo vi fa correre il rischio che in caso di violazione un malintenzionato possa accedere a tutti i vostri servizi online?
Questo concetto è ripreso anche all’interno del GDPR nei punti in cui si affronta la privacy by design e la privacy by default.
Il concetto di Privacy by design, la cui definizione fu fornita da Ann Cavoukian, nasce nel 2010 e tra i suoi principi cardine prevede:
- prevenire e non correggere i rischi, privacy e sicurezza incorporate nel progetto o nel sistema
- sicurezza durante tutto il ciclo del servizio.
I garanti della privacy per primi ci indicano quindi quale sia la strada da seguire: la sicurezza deve essere “naturale” ed integrata già dalla fase di progettazione ed avere tra i suoi scopi la prevenzione del verificarsi di un rischio.
In tutto questo pensiamo che sia fondamentale la sinergia tra gli esperti IT, le aziende e gli utenti finali.
Compito degli esperti IT è quindi quello di progettare sistemi che:
- prevengano i rischi
- aiutino gli utenti finali ad evitarli
- contengano i danni in caso di violazioni
- consentano alle aziende di ritornare operative in tempi contenuti e con la minor perdita di dati possibile (sempre consapevoli che l’errore zero è un punto a cui si deve mirare ma realisticamente irraggiungibile)
Le aziende devono valutare la sicurezza IT come un investimento e non più come un costo, promuovendo le politiche di sicurezza con la formazione delle risorse aziendali ad ogni livello.
Ricordiamo infatti che Kevin Mitnick, conosciuto come “il Condor”, probabilmente l’hacker più famoso della storia e ora esperto di Cyber Security, durante un suo intervento pubblico parlò di Social Engineering dicendo che “il punto debole della catena nel mondo informatico non è necessariamente l’hardware o il software, ma il fattore umano”.
Oggi tutte le principali minacce IT (phishing e cryptolocker su tutte) si basano sullo sfruttamento delle potenziali falle basate sui comportamenti degli utenti.
Sempre Mitnick, in una intervista del 2004 (qui l’intervista completa https://www.apogeonline.com/articoli/intervista-a-kevin-mitnick-pietro-gentile/), dice:
“…sicuramente il rischio di attacchi informatici dove le informazioni da reperire sono legate alle persone, sono maggiori con l’aumentare della dimensione delle aziende e con la flessibilità estrema del mercato che fa sì che una persona possa a volte far parte di una azienda solamente per alcuni mesi, sia scarsamente motivata ed abbia accesso ad informazioni riservate o modelli comportamentali che possa utilizzare nel momento in cui non ne faccia più parte”.
Proprio per questo, formare i propri utenti già nel momento in cui entrano in azienda costituisce un investimento fondamentale per la sicurezza delle infrastrutture IT di una azienda. Rendere loro consapevoli di quali comportamenti evitare, come gestire i dati, come conservare i dati, quali policy seguire riduce esponenzialmente le possibilità che il sistema IT sia attaccabile.
Parliamo di comportamenti e non di procedure perché sempre Mitnick prosegue così:
“non dimentichiamo mai che altri fattori in gioco possono essere l’eccessivo stress del lavoratore che posto sotto “pressione” a volte omette di rispettare determinate procedure aziendali di sicurezza, o il giudicare poco rilevanti informazioni che per il potenziale hacker potrebbero rivelarsi invece estremamente importanti, ponendo a rischio l’intero apparato informatico aziendale”.
Va introdotto quindi il concetto di “Behavioral IT”: una fusione tra analisi dei comportamenti del lavoratore e procedure IT. L’utente può essere formato sulle procedure aziendali, ma è importante che al contempo conosca quali sono i comportamenti nocivi o critici che possono portarlo a commettere un errore anche se a conoscenza dei principi tecnici della Cyber Security.
In questo contesto abbiamo quindi creato un nuovo corso di formazione dal titolo “Cyber Security – tra mente e tecnologia”, che affronta i rischi per la sicurezza informatica sia da un punto di vista comportamentale che tecnico.
Il corso può essere erogato sia in presenza, personalizzandolo in base alla caratteristiche del sistema IT aziendale, che online sulla piattaforma e-learning ab learn.
Per maggiori informazioni Contattaci.
