Tendenze della sicurezza 2016: cinque sfide

Il fornitore di sicurezza Totemo fornisce una panoramica delle 5 principali minacce del 2016 e spiega come gestirle.

1. backdoor nelle soluzioni di crittografia

Attacchi come quello di Parigi creano un clima in cui prosperano le richieste di maggiore sorveglianza. Tuttavia, la crittografia coerente dei dati è la seccatura numero uno per i ficcanaso. Da molto tempo ormai, Internet e il settore delle comunicazioni non possono fare a meno di un minimo di queste tecniche. Che si tratti di e-commerce, online banking, aggiornamenti software o download di app: il mondo digitale non è più concepibile senza la crittografia end-to-end. Ma in tempi di incertezza politica e di minacce terroristiche, vengono ripetute richieste di backdoor con cui le autorità di sicurezza potrebbero accedere alle comunicazioni protette.
A parte la discussione sulla misura in cui tali precauzioni minano i diritti dei cittadini nei singoli Paesi, la vera minaccia rappresentata dalle backdoor dal punto di vista informatico è che, come punto di rottura predeterminato, silurano l'intera architettura di sicurezza. Questo perché le chiavi delle backdoor non devono mai cadere nelle mani sbagliate, un requisito che difficilmente può essere soddisfatto nella pratica per procedure che vengono utilizzate milioni o miliardi di volte. I numerosi incidenti in cui è stata compromessa la sicurezza dei server governativi, come l'hacking del Bundestag, hanno diminuito la fiducia nella capacità delle autorità di proteggere in modo permanente tali informazioni sensibili dagli aggressori.

2. i dipendenti come punto debole

Il Indice di intelligence sulla sicurezza informatica di IBM per il 2015 mostra che una media di 55% di tutti gli incidenti di sicurezza dell'anno precedente ha avuto origine da insider, in parte inconsapevolmente, ma spesso anche con intenti malevoli. In sostanza, manca ancora la consapevolezza che i rischi derivano anche dall'accesso all'interno dell'azienda. La fuoriuscita di dati sensibili nei "canali oscuri" è facilitata da misure di sicurezza poco rigorose, come password deboli o account condivisi.
Le violazioni involontarie della sicurezza possono essere contrastate con misure che riconoscono e contrastano automaticamente le azioni critiche per la sicurezza. Ad esempio, quando un utente invia un documento contenente informazioni sulla carta di credito, è possibile avviare automaticamente un processo di crittografia per proteggere il contenuto. Il rischio di violazioni involontarie delle policy è ridotto anche da una gestione graduale delle autorizzazioni: ogni utente riceve solo le autorizzazioni di cui ha effettivamente bisogno in base al suo ruolo. Pertanto, ha senso definire ruoli aggiuntivi con diritti di accesso specifici tra i profili standard "amministratore" e "utente semplice".
Tali misure, inoltre, ostacolano già gli insider con intenzioni disoneste. Tuttavia, per difendersi dagli attacchi deliberati sono necessarie ulteriori misure di protezione interne: ciò include la crittografia delle e-mail e di altri contenuti anche internamente. Come misura aggiuntiva, una registrazione coerente può avere un effetto deterrente, in quanto tutte le azioni sono registrate in modo indelebile e a prova di manomissione - un requisito che può già sorgere in relazione ai requisiti di audit trail o di conformità.

3. crescita dell'IT ombra

Quello che viene spesso chiamato invitantemente "Bring your own Device" (ByoD) sta oggi minando la sicurezza informatica delle aziende come un movimento di massa nel senso di "ByoX". Perché oltre ai propri dispositivi, sono soprattutto le app o i programmi a essere utilizzati sempre più spesso senza la benedizione dei reparti IT e a creare una vera e propria infrastruttura IT ombra: secondo un'indagine di Cisco dell'estate 2015, i dipendenti utilizzano in media 51 servizi cloud esterni secondo la valutazione dei loro reparti IT - in realtà, però, il numero è 15 volte superiore, secondo Cisco. A fine anno, l'utilizzo reale potrebbe addirittura aumentare fino a 20 volte l'importo ipotizzato dalle aziende.
Questa crescita incontrollata deve essere particolarmente preoccupante per i responsabili IT, perché non solo apre la porta agli attacchi, ma si riflette anche negativamente sulla loro stessa infrastruttura IT. Dopo tutto, l'argomentazione degli utenti di solito culmina nel fatto che le soluzioni non autorizzate portano all'obiettivo in modo più rapido e conveniente. La lezione per i reparti IT non può che essere quella di prestare maggiore attenzione alle esigenze dei dipendenti, soprattutto quando si tratta di applicazioni critiche per la sicurezza come la crittografia. In sostanza, il reparto IT dovrebbe vedersi come un "fornitore interno di servizi" che fornisce ai dipendenti un catalogo di servizi IT di soluzioni facili da usare tra cui scegliere. Questo è l'unico modo per garantire che gli utenti utilizzino davvero le applicazioni approvate e non cerchino da soli delle alternative.

4. internet delle cose - comunicazione vulnerabile con le macchine

Tutti i segnali indicano una crescente interconnessione tra i dispositivi, perché nell'industria, ad esempio, l'automazione attraverso i confini delle macchine e degli impianti promette flessibilità e vantaggi in termini di costi. Nell'Internet degli oggetti, i protocolli di trasmissione criptati dovrebbero essere sempre utilizzati per proteggere la trasmissione dei dati. Ma questa non è una garanzia di protezione dei dati se i produttori ci pensano troppo poco e, ad esempio, utilizzano nei loro dispositivi chiavi identiche. Chiunque possieda uno di questi dispositivi con chiavi clonate può utilizzare la sua chiave privata per decifrare i dati di altri dispositivi collegati in rete dello stesso produttore.
Un errore facile da evitare, si direbbe. Ma il problema di fondo è che i fornitori di molti dispositivi in rete oggi provengono dall'industria elettronica e non hanno la consapevolezza e il know-how del settore della sicurezza. Un esempio sono i baby monitor e le telecamere per il monitoraggio della prole, o anche la Barbie parlante e ascoltante, cioè che origlia, che trasmette tutti i dati all'azienda produttrice. Come ha dimostrato un test condotto da una società di sicurezza, questi prodotti sono spesso molto facili da violare. I rischi sono illustrati anche da una serie di incidenti in cui gli hacker hanno riprodotto audio ai genitori, da un lato, e hanno messo su Youtube registrazioni video dell'ambiente domestico, dall'altro. Il problema di questi dispositivi non adeguatamente protetti è destinato a peggiorare, perché le idee di prodotti innovativi stanno venendo incontro ai genitori indaffarati che vogliono verificare di persona il benessere dei propri figli al lavoro e che per farlo utilizzano sempre più spesso dispositivi collegati in rete.

5. utilizzare il cloud (solo) con cautela

Nell'ottobre 2015, la sentenza Safe Harbor della Corte di giustizia europea (CGE) ha accentuato le preoccupazioni sulla sicurezza della conservazione dei dati al di fuori dell'Europa. Questo perché la Corte di giustizia europea ha stabilito che l'accordo Safe Harbor non può pregiudicare le disposizioni locali di protezione europea. Negli ultimi 15 anni, era sufficiente che le aziende statunitensi si impegnassero a rispettare le regole del Safe Harbor - senza ulteriori certificazioni di conformità alle norme dell'UE - per poter affidare loro i dati. A seguito del caso Snowden, tuttavia, è chiaro che i dati non sono al sicuro, perché il governo statunitense è in grado di accedervi in qualsiasi momento.
Ciononostante, il cloud continua a essere un utile elemento dell'infrastruttura IT, a patto che non vi vengano archiviati dati esplosivi, o almeno non in modo non criptato. Una protezione affidabile dovrebbe essere garantita se le chiavi non sono soggette alla giurisdizione degli Stati Uniti, ma sono conservate su server locali in Europa. In caso contrario, il governo statunitense può chiedere ai fornitori di servizi americani di consegnarli. Tuttavia, la pratica dimostra che le autorità statunitensi esigono la consegna da parte delle società americane anche se i dati sono conservati su server locali in Europa. Sebbene queste aziende stiano opponendo resistenza, l'andamento legale della controversia suggerisce che alla fine i dati dovranno essere consegnati. Le aziende di tutto il mondo avranno quindi ancora del lavoro da fare nel 2016.

Conclusione: la fiducia non può essere delegata

Le sfide attuali per la sicurezza informatica aziendale dimostrano soprattutto una cosa: la fiducia non può essere delegata. Solo chi adotta misure efficaci per garantire la propria sicurezza in loco è al sicuro.