Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

SICUREZZA DEI DATI DURANTE LA LORO TRASMISSIONE VERSO I CENTRO SERVIZI. RESISTENZE PSICOLOGICHE E PREGIUDIZI

di Salvatore Esposito

[five_sixth][toggle Title=”Abstract”]Oggi, con l’utilizzo di linee dedicate per la trasmissione dei dati sensibili  e con l’uso massiccio di Internet, la sicurezza e la privacy ricoprono un ruolo molto importante. Come risponde la tecnologia?[/toggle][/five_sixth]

[one_sixth_last]pdf-icon[/one_sixth_last]

Un messaggio forte arriva dall’Unione europea, grazie alla riforma della protezione dei dati, nel quale viene sancito il diritto fondamentale circa la loro protezione. Intanto gli accadimenti recenti sulla violazione dei dati hanno diffuso qualche sconcerto ed è aumentata la sensibilità circa la questione della sicurezza e della privacy, anche per il fatto che la dematerializzazione dei dati e la conseguente digitalizzazione si sta sempre più diffondendo. La diffusione dei servizi in outsourcing obbliga le imprese ad alzare il livello di sicurezza per garantire ai propri utenti una risposta adeguata ai loro timori e, nell’immediato futuro, la sicurezza delle informazioni creerà competizione tra le aziende e costituirà sempre di più il fattore che farà la differenza nell’ambito del business.

La normativa in materia di sicurezza e privacy dei dati oggi è sempre più uno strumento prezioso per consentirci di muoverci nell’era digitale. La richiesta di servizi digitali in outsourcing obbliga le aziende a rendere sempre più accessibili le applicazioni interne ai clienti o utilizzatori esterni attraverso soluzioni web. È sempre più in crescita la digitalizzazione delle informazioni ed il numero di servizi da esternalizzare che esulano dal core business aziendale, con la conseguente scelta da parte delle aziende – che erogano servizi – ad investire in sicurezza. Se da una parte assistiamo ad un incremento di Data Center dedicati, dall’altro si tende a prediligere sistemi con tecnologia modulare e virtuale.

Trasferimento dei dati su sistemi cloud, quali indici di sicurezza
Nonostante di recente vi sia stato un incredibile sviluppo del cloud rimane ancora una certa resistenza “psicologica” nei confronti del suo utilizzo. Si rileva come siano ancora piuttosto radicati, soprattutto in ambito professionale, taluni pregiudizi che etichettano il cloud come uno strumento rischioso ed insicuro.

Il Cloud, questo sconosciuto
La categoria che maggiormente soffre nella scelta di tale tecnologia è da ricercarsi prevalentemente nei dirigenti aziendali e soprattutto nei consulenti. Su un campione intervistato di 200 professionisti, in una fascia del 50 -55%, è stata palesata una certa apprensione nei confronti della sicurezza e riservatezza dei dati in transito da e per i sistemi virtuali. Gli elementi negativi più evidenziati sono la perdita di controllo sulle operazioni di trasferimento delle informazioni e gli atti di pirateria informatica.

La colpa è di Internet?
Internet ormai costituisce uno strumento user friendly a livello mondiale che consente l’accesso a tutti ed è per questo motivo che la trasmissione dei dati è rischiosa soprattutto quando sono particolarmente sensibili. Nonostante le misure di sicurezza siano elevate, sussiste sempre la possibilità che i dati vadano persi o vengano intercettati, manipolati da persone non autorizzate o addirittura da criminali che si appropriano della nostra identità o delle informazioni di natura personale.

La tecnologia crittografica protegge i dati che viaggiano su internet?
Nelle operazioni che svolgiamo quotidianamente sulla rete Internet è molto comune l’uso della crittografia, ad esempio quando facciamo acquisti online i nostri dati vengono garantiti da una connessione VPN cifrata. Col metodo crittografico il messaggio in chiaro viene convertito in un messaggio cifrato che sarà incomprensibile a tutti tranne al destinatario, che con un sistema di decrittografia inverte il processo ottenendo il documento in chiaro, garantendo la riservatezza dei dati in modo che solo chi è autorizzato può leggere il messaggio originale.
A differenza delle tecniche usate nel passato, oggi si utilizzano algoritmi di pubblico dominio e la decrittografia risulta praticamente impossibile se non si conosce la chiave con cui si è cifrato il messaggio. La crittografia viene utilizzata per fornire riservatezza in ambito “Open Systems Interconnection” nelle seguenti fasi:

  • Applicazione, la crittografia dei dati viene utilizzata per la sicurezza in e-mail, database (Oracle SQL *Net) e di messaggistica (Lotus Notes).
  • Sessione, i dati vengono crittografati utilizzando un protocollo come il Secure Socket Layer (SSL) o Transport Layer Security (TLS).
  • Rete, i dati vengono crittografati utilizzando protocolli come IPsec.

Stiamo parlando di un sistema sicuro ma un utente malintenzionato può tentare di rompere un algoritmo o testo cifrato usando una varietà di attacchi (cfr. http://www.flane.it/Introduzione-ai-Servizi-Crittografici/25705):
Attacco chosen-plaintext: in questo caso il crittoanalista è in possesso del solo testo cifrato ottenibile facilmente analizzando i pacchetti in transito sulla rete. La possibilità di successo di questo tipo di attacco è molto remota e necessita di un’enorme quantità di dati cifrati.
Attacco known-plaintext: il crittoanalista è in possesso del testo cifrato e del corrispondente testo in chiaro. Grazie a questo tipo di informazione è possibile risalire alla chiave segreta che equivale a carpire il “modus operandi” di una determinata persona o azienda che usa crittografare i propri dati, dal momento che di solito una stessa chiave viene utilizzata per diversi documenti e per un certo periodo di tempo, l’acquisizione della chiave equivale quindi a rendere vulnerabile anche altri testi cifrati.
Attacco strong: tutti gli algoritmi di crittografia sono vulnerabili a un attacco strong. Con questo tipo di attacco il crittoanalista tenta ogni chiave possibile per decriptare il testo cifrato; generalmente questo tipo di attacco riesce a raggiungere il suo scopo dopo aver provato il 57% di tutte le chiavi possibili. Per difendersi da questa forma di attacco i crittografi moderni hanno implementato soluzioni di sicurezza tali per cui la quantità di chiavi possibili è talmente grande da richiedere troppo tempo e denaro per provarle tutte. Un po’ come il tentativo di vincere al giuoco del “Lotto”, le combinazioni sarebbero tante e molte più costose della probabile vincita.

Possiamo asserire che la crittografia può considerarsi affidabile quando:

  1. è resistente agli attacchi crittografici sopra descritti;
  2. permette chiavi variabili, ampie e scalabili;
  3. crea un effetto valanga, al variare di un singolo carattere del testo da cifrare il risultato criptato deve;
  4. al variare di un singolo carattere del testo da cifrare il risultato criptato deve essere completamente diverso dal precedente testo criptato;
  5. non ha limiti sia all’esportazione che all’importazione dagli stati;
  6. protegge da letture e modifiche non autorizzate;
  7. fornisce certezza della sorgente, della destinazione e del contenuto dell’informazione;
  8. fonisce garanzia che chi trasmette e chi riceve non possano negare di avere rispettivamente inviato e ricevuto il messaggio.

Come possiamo descrivere un dialogo sull’autostrada digitale chiamata “Internet”?
Immaginiamo un dialogo tra uno scienziato di due Stati diversi che intendano comunicare in modo riservato attraverso un canale risultato poi “insicuro”, perché reso tale dalla interferenza di un terzo soggetto X, probabilmente un’agenzia governativa, che ascolta la comunicazione ed ha interesse a capire cosa si dicono i due scienziati per timore di fuga di dati segreti. Supponiamo che i due scienziati condividano uno stesso pacchetto di messaggi, noto anche ad X. Ipotizziamo che i due scienziati parlino la stessa lingua e che i messaggi che si scambiano sono trasmessi in chiaro e quindi comprensibili anche a X. È sperabile che presto i due scienziati si accorgano di essere intercettati e decidano di falsare i dati trasmessi in chiaro e apparentemente incomprensibili e privi di significato, ma che in sostanza sono comprensibilissimi dai due scienziati. Infatti gli stessi scienziati ricorreranno in estremis a un linguaggio segreto, concordato in precedenza nel caso si fosse presentata la necessità. In maniera più precisa useranno un cifrario attraverso una coppia di funzioni individuate da una specifica chiave di cifratura che trasforma il messaggio in chiaro in un nuovo messaggio detto “messaggio cifrato”.

Entrambi gli scienziati useranno una chiave di decifratura che riporta il messaggio nelle condizioni di partenza prima della trasmissione. Possiamo dire che la sicurezza è stata rispettata? Dipende dai punti di vista, forse sarebbe stato meglio da parte dei due scienziati usare fin da subito tecniche avanzate di sicurezza già in precedenza concordate ed incautamente non utilizzate da subito.

Il Cloud era già conosciuto dagli Indiani?
Un po’ di storia. Gli indiani, popolo saggio, già conosceva i segreti legati alla sicurezza e le tecniche di crittografia chiaramente inconsapevolmente. Chi non ricorda i film tra indiani e le giubbe blu, quando l’ora dell’attacco veniva comunicato da nuvole di fumo sapientemente lanciate nel cielo, eravamo bambini e non sapevamo ancora  di assistere ad una geniale tecnica di crittografia in un sistema “cloud”. Perfino nel corso della seconda guerra mondiale gli americani usarono le tecniche indiane per scambiarsi messaggi cifrati, tant’è che preferirono l’uso del linguaggio indiano, in particolare Navajo, sia perché un linguaggio praticamente inesistente e sia per l’impossibilità da parte degli asiatici ed europei di accedere alle sue radici idiomatiche.

La tecnologia moderna e la messa in sicurezza dei nostri dati
La necessità di mantenere le informazioni segrete è da sempre di fondamentale importanza per l’uomo e la tecnologia, ovvero l’arte di creare codici, ha radici lontane che affondano addirittura nel tempo antico quando la comunicazione di dati imponeva una forma che li rendesse illeggibili nel caso fossero caduti in mano ad estranei o addirittura male intenzionati.
In ambito di sicurezza, la società digitale e i nuovi modelli d’uso ICT – sia del pubblico che del privato – sono orientati a strutturare il loro lavoro e il trattamento dei dati, delle informazioni e dei documenti sotto forma digitale, pertanto la sicurezza diventa parte essenziale per le aziende che si occupano del servizio in outsourcing. La continuità operativa e la sicurezza da accessi illeciti è infatti garantita dallo steso art. 97 della Costituzione e poi dal Codice delle privacy e dal nuovo CAD del 2010, secondo anche quanto stabilito dalle nuove regole tecniche pubblicate recentemente sulla Gazzetta Ufficiale. Le aziende fornitrici di servizi e le stesse amministrazioni pubbliche, sono costrette ad una verifica strutturale e di processi per definire e realizzare quali siano le soluzioni per la sicurezza informatica, la business continuity e il disaster recovery, anche perché ci troviamo difronte ad uno stringente obbligo di legge che impone, come anche proposto all’Agenzia per l’Italia Digitale, uno studio di fattibilità e un piano per la continuità operativa e la sicurezza. È importante prendere consapevolezza e quindi trovare soluzioni idonee per delineare i rischi e benefici dell’adozione dei servizi del tipo tradizionale e anche nell’ambito di una “soluzione cloud”, sia nell’acquisizione di ”servizi cloud”.

La sicurezza dei sistemi informatici, e quindi dei dati e delle informazioni, la ricerca di soluzioni adeguate rispetto alle nuove esigenze di servizi e di continuità operativa, i nuovi modelli tecnologici come Open data, Cloud e Byod (Bring Your Own Device) sono tra i temi più dibattuti nei convegni, soprattutto alla luce dei dati del 2012/2013 che registrano un aumento del rischio dovuto all’incremento del numero e della qualità degli attacchi informatici.
L’importanza della sicurezza e della conservazione della memoria digitale diventano di particolare importanza quando pensiamo all’enorme patrimonio di dati presenti nei Data Center della Pubblica amministrazione e anche il patrimonio rappresentato dalle informazioni progettuali delle aziende private. Oggi si parla di spending rewiev, sacrosanta scelta per gli sperperi della Pubblica Amministrazione, allo stesso tempo è importante evidenziare che essa possa generare delle criticità se orientata alla riduzione di investimenti a fronte di una pressante e indispensabile esigenza di innovazione tecnologica.©

Altri articoli di BMPLANETA SRL

Translate »