#CybersecurityCafé

di Alessandro Sinibaldi, CERT-PA

Benché il termine sia giunto agli onori della cronaca da poco, l’offensive security è una pratica tutt’altro che nuova, perché ogni difesa è figlia dell’offesa.

Un data breach è un incidente di sicurezza che ha come conseguenza la diffusione, la distruzione, la perdita o la modifica non autorizzate di dati confidenziali come indirizzi, numeri di telefono o email, username e password, dati bancari o numeri di carte di credito, PIN e così via. Tali violazioni possono avvenire durante la conservazione, la trasmissione o, più in generale, qualunque trattamento effettuato sui dati stessi.
Nell’ambito del Regolamento UE n. 2016/679, detto anche GDPR (in inglese General Data Protection Regulation, in italiano regolamento generale sulla protezione dei dati), un dato personale è definito come qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”). Inoltre, un trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Un data breach può avvenire per motivi volontari o involontari. Alcuni esempi:

• * perdita accidentale: data breach causato ad esempio da smarrimento di una chiavetta USB con contenuti riservati;
• * furto: data breach causato ad esempio da furto di un notebook con all’interno dati confidenziali/riservati;
• * infedeltà aziendale: data breach causato ad esempio da un dipendente/persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia da distribuire in ambiente pubblico;
• * accesso abusivo: data breach causato ad esempio da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite.

La prevenzione dei data breach passa attraverso la predisposizione di opportune contromisure. In linea di massima, il punto di partenza è sempre quello di fare un’analisi del rischio. Partendo da ciò che si fa e dal perché lo si fa, cioè di fatto mission e funzioni, si passa a analizzare come lo si fa, e quindi processi e servizi, e cosa occorre per farlo, cioè gli asset. I dati sono tra questi ultimi. Fatto questo, si passa a analizzare le minacce agli asset, ad esempio incendi, terremoti, malware, hacker, furti e le vulnerabilità che permettono a queste minacce di operare. I rischi così individuati possono essere mitigati attraverso opportune contromisure. Nel seguito vedremo alcune di esse:

Obblighi legali

La privacy e la sicurezza dei dati sono affrontate in leggi specifiche, come ad esempio il GDPR, ma anche in leggi e regolamenti specifici per un determinato ambito come il caso dei dati sanitari o dei dati giudiziari.

Policy di sicurezza dei dati

È il documento principale che deve essere prodotto e a cui deve sottostare l’ente nel suo complesso. Esso dettaglia le best practice, gli standard e le procedure che devono essere seguiti per massimizzare la sicurezza dei dati. Deve riguardare la conservazione dei dati, sia fisici che digitali, il loro trasporto, le modalità di accesso (CRUD: Create, Read, Update, Delete), le responsabilità e così via.

Policy per l’utilizzo degli apparati aziendali

In questo documento vengono affrontate tutte le problematiche relative all’utilizzo degli strumenti che un ente mette a disposizione dei suoi dipendenti e consulenti. Tra queste, ad esempio: E’ lecito portare a casa un computer portatile? È possibile usarlo a fini privati? Cosa deve essere fatto quando un computer, portato temporaneamente all’esterno dell’ente vi rientra?

Autorizzazione degli utenti

Gli utenti devono ricevere solo i privilegi strettamente necessari per le operazioni che devono compiere. Inoltre i privilegi non dovrebbero mai essere attribuiti direttamente agli utenti ma dovrebbero seguire paradigmi come RBAC (Role Based Access Control), cioè gli utenti dovrebbero, sulla base dei loro ruoli aziendali, essere aggregati in gruppi e i privilegi dovrebbero essere attribuiti a questi ultimi. Anche i gruppi dovrebbero essere strutturati in modo da ricevere solo i privilegi strettamente necessari.

Automatizzazione

È stato valutato che l’errore umano è il primo responsabile dei data breach ed è normalmente il prodotto di una bassa cultura della sicurezza, di una gestione inaccurata, negligente e incontrollata dei dati, dell’utilizzo ad esempio di password deboli e così via. Automatizzare i processi laddove possibile permette di far lavorare le persone in modo controllato e standardizzato. Inoltre, l’adozione di controlli automatici permette di prevenire e contrastare l’errore umano prima ancora che si verifichi il problema.

Promozione di consapevolezza della sicurezza

Le persone sono la prima linea di difesa, se opportunamente educate e formate.

Uso della criptazione laddove possibile

Ciptare i dati, stazionari e in movimento, con meccanismi di complessità adeguata è un ottimo modo per affrontare il problema dell’integrità e dell’accesso ai dati.

Tracciamento e Monitoraggio

L’accesso ai dati e tutte le funzioni eseguite su essi devono essere tracciati in tempo reale e i log prodotti devono essere conservati con tutta la cura possibile per il tempo richiesto dalla legge e dai regolamenti interni. Oltre alle verifiche in tempo reale devono essere fatti periodicamente Audit da parte di consulenti esterni.

Backup dei dati

Il backup dei dati permette il ripristino nel caso di eventi distruttivi. La frequenza dei backup, i tempi di conservazione dei backup, la scelta dei supporti dei backup e la loro modalità di conservazione devono tutti essere scelti in modo compatibile all’importanza dei dati e all’analisi del rischio effettuata in precedenza. Attenzione al fatto, ovviamente, che la qualità di un backup dipende dalla qualità del dato di partenza: se quest’ultimo era già corrotto anche il backup presenterà lo stesso problema.

Gestione delle patch

L’adeguamento di software e sistemi operativi via via che vengono individuate nuove vulnerabilità deve essere fatto con la massima priorità possibile, soprattutto nel caso di patch di sicurezza ma non essere precipitoso in tutti gli altri casi. Prima di installare una patch devono sempre essere effettuati i backup e le patch devono sempre essere provate in un ambiente di test prima dell’installazione in ambiente di produzione.