L'incremento nell'uso del computer ha portato con se una diversa concezione di sicurezza informatica.
Se poi si pensa che l'utilizzo delle risorse (dati) ha cambiato il proprio modo di interagire con gli utenti, basti pensare che ancora dieci anni fa i dati, sensibili e consistenti, erano gestiti in “comunità”, ristrette mentre oggi piattaforme tipo Home banking pubblicano su internet dati di rilievo, si nota subito che la sicurezza informatica cambia con una velocità a volte tale che l'utente non riesce a proteggersi in maniera adeguata.
Ad oggi il “come” e il “ quando” viene attivato un attacco informatico non può essere conosciuto se non dopo che lo stesso si è verificato, a prescindere dal risultato.
Chi si occupa di sicurezza informatica ritiene che le tecnologie a supporto abbiano uno sviluppo troppo lento rispetto alle nuove possibilità di attacco.
Il perché di questa situazione, a torto o a ragione, risiede nel costo dello sviluppo della sicurezza, che ancora oggi viene percepito dalle aziende come un costo troppo elevato rispetto al potenziale rischio, ecco perché la cultura del mercato oggi è ancora basata sull'ipotesi che ogni sistema è perfetto, per cui si affronta la sicurezza solo come conseguenza del danno.
Purtroppo con ancora maggiore lentezza, si muovono i sistemi legislativi nel dettare la pena per il reato informatico, basti pensare che in termini legislativo la proprietà elettronica come la proprietà intellettuale non è ancora chiara.
Il primo passo per una corretta gestione preventiva dei sistemi informativi è mettere nel giusto ordine i termini e gli scopi delle attività di sicurezza.
Questo esercizio comporta anche una rivisitazione culturale del problema insieme con la sua accettazione.
E' errato, o quantomeno, non totalmente corretto, pensare e poi dichiarare la “protezione del proprio sistema informativo”, mentre sarebbe corretto dichiarare che “il proprio sistema informativo garantisce i dati ivi conservati e non ne permette il prelievo l'uso o la manipolazione fraudolente, se non a persone che hanno il diritto di accedere a quel dato”.
Per meglio comprendere questa affermazione basti pensare al sistema informatico di una banca. L'istituto anche a scopo pubblicitario definisce il proprio sistema inviolabile lo garantisce e ne effettua lanci pubblicitari i cui costi non sono irrisori. Nessuno però riflette che quel sistema è solo una parte del contenitore dei dati, quasi la totalità dei dati che permettono l'ingresso sono fuori controllo e senza sicurezza opportuna. Infatti ad esempio le credenziali al sistema di accesso (ma potremmo dire gli estratti conti, i numeri degli assegni i dati delle persone che hanno versato sul vostro conto e se ne potrebbero dire tanti altri) sono almeno su due computer fuori dal controllo bancario, stiamo parlando del pc di casa e di quello dell'ufficio, ma possono anche essere sul notebook e sullo smartphone, soprattutto sono sulla posta elettronica personale. Come si può notare abbiamo citato quattro computer facilmente penetrabili ed un sistema quello della posta sempre disponibile.
Si potrebbe obiettare che cosi niente è sicuro e si sta usando la demagogia per banalizzare il problema, vi faccio però osservare che non è necessario sviluppare grandi sistemi per penetrare la sicurezza, quando il sistema stesso mette a disposizione strade più forti ed economiche.
Quanto detto sin ora trova valore aggiunto se si mettono a confronto alcuni sondaggi effettuati sulla sicurezza.
Un primo sondaggio del 2001 sviluppato interamente attraverso interviste a personale specifico sulla sicurezza informatica rilevava che tra i metodi più diffusi per gli attacchi informatici avevamo:
- 27% attraverso applicazioni non ancora conosciute nel mondo informatico, per capirci tutti quei software che riescono ad attaccare i sistemi fin quando la sicurezza non prende coscienza dell'esistenza di tale sw e trova le giuste contromosse;
- 22% attraverso software di previsione delle password
- 17% attraverso l'uso non corretto dell'account per l'ingresso
- il resto della percentuale si spalma tra vari sistemi conosciuti o meno che definiremo di guerriglia comune.
Possiamo notare che tra queste percentuali fatta eccezione per la prima ben il 39% delle “vulnerabilità” sono da addebitarsi alla risorsa umana e non alla bravura di chi in modo malevolo tenta di accedere sui sistemi.
Nessun commento:
Posta un commento