La sicurezza dell’end point: cultura e tecnologia sono sufficienti per mitigare il rischio del “fattore umano”?
Per potere far crescere i livelli di protezione e di sicurezza legati all’ambito dell’end point è importante, se non fondamentale, che i vari enti pubblici trovino la possibilità e la forza di condividere una strategia e mezzi di applicazione comune
7 Marzo 2019
Enzo Veiluva
Responsabile Sicurezza ICT & Privacy, CSI Piemonte - Cantiere Sicurezza Digitale
Dall’ultimo report di Check Point del primo semestre 2018 emerge un aumento del 50% dell’impatto globale dei trojan bancari, rispetto agli ultimi quattro mesi, mentre i ricercatori di Libraesva segnalano “che i servizi di email marketing stanno diventando i migliori alleati dei cyber-criminali e anche nel nostro paese si sta assistendo a una crescita esponenziale degli attacchi che sfruttano le piattaforme di pubblicità tramite posta elettronica per la distribuzione di malware e messaggi di phishing”. Se poi andiamo a leggere il report sulla sicurezza del Play Store rilasciato a fine gennaio da Google, il numero di applicazioni infette presenti nello store digitale per Android è aumentato in maniera esponenziale. Nel solo 2017 i sistemi di sicurezza Google “hanno eliminato 700mila applicazioni infette presenti nel Play Store, la gran parte delle quali è stata intercettata ed eliminata prima che potesse creare problemi. Il 99% delle app con malware, infatti, è stato cancellato dal Play Store prima che fossero scaricate anche una sola volta”. Rispetto al 2016, il numero delle app Android infette è cresciuto del 70% e la crescita non sembra trovare freni anche in questo 2018.
Questi casi abbastanza preoccupanti si sminuiscono se andiamo a vedere i recenti bollettini emessi dalla Dipartimento della Salute americano, ove vengono segnalati nei soli ultimi 24 mesi oltre 413 casi di data breach effettuati ai danni aziende o cliniche ospedaliere, per un totale di circa 6.000.000 di cartelle cliniche trafugate. In oltre un terzo dei casi i dati violati erano presenti dentro mail o su desktop degli addetti ai lavori. Di fronte a questi scenari la domanda da parte dei responsabili di sistemi informativi, delle organizzazioni ma anche dei semplici “utenti della rete” è sempre più frequente: cosa fare per difendersi? Come approcciare la problematica? Esiste una soluzione che possa mitigare il rischio? A queste ed altre domande si sta provando a dare una risposta all’interno del Gruppo di lavoro del Cantiere sicurezza digitale organizzato da FPA.
Affrontare la problematica non è banale. Come tutte le circostanze che dipendono in particolare dal “fattore umano” non è semplice trovare una soluzione, un approccio generalizzato efficace. Cultura e tecnologia sono sicuramente un connubio fondamentale, ma probabilmente non totalmente esaustivo. La cultura perché, per quanto comunque ci si possa sforzare per far crescere il livello di consapevolezza degli utenti, resterà sempre una parte di vittime che non riesce a gestire quel irrefrenabile desiderio di click compulsivo all’apertura di ogni e-mail, che si manifesta in particolare quando ci viene comunicato di aver appena vinto un cellulare di ultima generazione o viene segnalata una salatissima bolletta di un operatore telefonico, che poi riflettendo a posteriori non risulta essere neanche il proprio. Dal lato dei tentatori, che hanno a disposizione una sempre più ampia quantità di risorse e di fantasia, vengono confezionate ogni giorno modalità di truffa sempre più sofisticate che portano a mettere in difficolta, e a volte a cascare nel tranello, anche gli specialisti più preparati. Dal punto di vista della tecnologia i tradizionali approcci basati sulle soluzioni di riconoscimento di firme (i classici antivirus e antimalware, per intenderci) da tempo da soli non sono più assolutamente sufficienti (8,4 milioni di nuovi malware identificati nel 2017), pur continuando a rimanere comunque indispensabili (senza sarebbe ancora peggio!). È necessario introdurre altre tecnologie che possano garantire un sistema di autenticazione sicuro, un livello sempre più crescente di sicurezze della navigazione (dall’analisi del DNS, al content filtering), tecniche trasparenti di cifratura delle informazioni, soluzioni di data loss prevention adattabili al contesto, agenti dediti all’analisi continua del sistema (e delle sue “anomalie”). Ed è importante che tutto questo mix di tecnologia possa essere organizzato in modo tale da permettere di attivare quel complesso di correlazione di eventi che oggi viene definito come “analisi comportamentale” dei sistemi e cioè la capacità “dei dispositivi di sicurezza di osservare il modello comportamentale degli utenti, costituendo a sua volta un modello comportamentale ed identificando i comportamenti che si discostano in modo significativo da tale modello. Questo approccio difatti potrebbe permettere non solo di individuare tempestivamente un tentativo di attacco, ma anche di sviluppare un approccio predittivo e preventivo rispetto all’insorgenza di nuove minacce” (G. Daverio).
La tecnologia deve quindi essere in grado di monitorare, acquisire ed adattarsi ai bisogni reali dell’individuo, affinché diventi sempre più mitigabile l’errore introdotto dal “fattore umano”. Il lato negativo della medaglia (ma è scontato) è che per fare tutto ciò occorrono investimenti (la sicurezza non è mai gratis, ha sempre un costo) ed in particolare nell’ambito delle piccole pubbliche amministrazioni che ogni giorno devono lottare con difficoltà di reperimento risorse economiche, obsolescenza tecnologica, personale e gestione del quotidiano garantendo il rispetto delle normative e dei regolamenti che non si differenziano certo per i volumi gestiti. In Piemonte, ad esempio, vi sono 1.197 realtà di pubbliche amministrazioni comunali, di cui l’88,2% ha una popolazione al di sotto dei 5000 abitanti, e deve garantire la sicurezza e la protezione di tutti quei servizi tipici di una amministrazione comunale (anagrafe, tributi, servizi sociali, mense, asili, immigrati, etc).
È evidente quindi che per poter garantire una economicità di scala, poter pensare di centralizzare tecnologie di analisi e monitoraggio contando su elevate potenze di calcolo che solo un sistema in cloud può offrire, l’unica strada percorribile per le piccole e medie amministrazioni è puntare su azioni di consolidamento e “messa a fattor comune di esigenze” nell’utilizzo di soluzioni di sicurezza. Su questo fronte le Regioni con le proprie in house possono dare un grandissimo contributo, favorendo non solo una crescita di cultura e competenza locale ma contribuendo efficacemente allo sviluppo dei livelli di sicurezza territoriale. Una strada è già stata tracciata da AgID, nel suo piano triennale per le Pubbliche Amministrazioni e nel progetto di identificazione di poli strategici nazionali per l’accorpamento dei CED. Per potere quindi far crescere i livelli di protezione e di sicurezza legati all’ambito dell’end point è quindi importante, se non fondamentale, che i vari enti pubblici trovino la possibilità e la forza di condividere una strategia e mezzi di applicazione comune. Un esempio su questa linea che varrebbe la pena analizzare e valutare, anche nell’ambito della gestione di una piattaforma di security end point management, è quanto fatto dal CSI Piemonte, Consorzio di oltre 130 enti della Pubblica amministrazione piemontese con il progetto Nivola, una piattaforma completamente open source che semplifica l’utilizzo dei servizi cloud da parte della pubblica amministrazione. Il progetto Nivola vuole mettere a disposizione potenza di calcolo, storage, rete, database e molto altro. Il risultato è quello di offrire a ogni amministrazione la completa autonomia nella creazione del proprio sistema informativo e nella migrazione delle applicazioni, in assoluta sicurezza. Un naturale iter di continuità rispetto a quanto già realizzato nel progetto di Piattaforma di Community Cloud regionale.
Un modello similare realizzato dalle singole inhouse e aperto a tutta la PA potrebbe essere una valida soluzione per valutare modalità di erogazione di servizi di security end point.