Sicurezza informatica
La sicurezza informatica (in inglese computer security), è l'insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di confidenzialità, integrità e disponibilità, dei beni o asset informatici.
Aspetti generali
modificaUn sinonimo che trova talvolta impiego in questo contesto è cybersicurezza[1] (dall'inglese cyber security), termine che più precisamente ne rappresenta una sottoclasse[2][3], essendo quell'ambito della sicurezza informatica che dipende solo dalla tecnologia: con esso si enfatizzano spesso qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance.
Nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani. Per valutare la sicurezza solitamente è necessario individuare le minacce, le vulnerabilità e i rischi associati ai beni informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc...) a un'organizzazione. Oltre alle tre fondamentali proprietà (disponibilità, riservatezza, integrità) possono essere considerate anche: autenticità, non ripudiabilità, responsabilità, affidabilità.
La sicurezza informatica è un problema molto sentito in ambito economico-informatico per via della crescente informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela diffusione e specializzazione degli attaccanti.
L'interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni, proporzionalmente alla loro diffusione e al ruolo da essi svolto nella collettività[4].
Sicurezza delle informazioni
modificaSicurezza informatica non coincide con sicurezza delle informazioni (InfoSec)[5]. La prima si rivolge agli asset informatici (impianti, reti, dispositivi, sistemi, applicazioni, servizi), la seconda mira a mettere in sicurezza l'asset "informazione" nelle dimensioni: organizzazione, fisica ed ambientale, logica (cioè tecnologia informatica o telematica). Per la sicurezza delle informazioni la sicurezza informatica è una parte ed è un mezzo, non è la finalità.
Si può sommariamente osservare che:
- quando le informazioni sono non digitali allora non riguardano la sicurezza informatica, mentre la sicurezza delle informazioni è interessata;
- un'informazione orale (o materializzata unicamente su carta) rimane un'informazione che potrebbe essere necessario mettere in sicurezza senza dover o poter ricorrere alla sicurezza informatica.
Esiste a livello internazionale la norma ISO 27001 finalizzata alla standardizzazione delle modalità adatte a proteggere le informazioni da minacce di ogni tipo, al fine di assicurarne la riservatezza, l'integrità e la disponibilità (proprietà identificate con l'acronimo RID). Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI; in inglese Information security management system o ISMS) finalizzato a una corretta gestione delle informazioni dell'organizzazione. Una fase indispensabile di ogni pianificazione della sicurezza è la valutazione del rischio e la gestione del rischio. Le organizzazioni (di qualsiasi natura, settore, dimensione) possono far certificare ISO 27001 il proprio SGSI.
Sicurezza domestica e nelle aziende
modificaDal momento che l'informazione è un bene aziendale, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni azienda è interessata a garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. Per questo esistono precise norme in materia di privacy, tra cui ad esempio il Regolamento generale sulla protezione dei dati. La materia privacy è però limitativa, trattando essa unicamente il tema della protezione dei dati personali ed escludendo il resto; la legge sulla privacy infatti non impone alcuna protezione per informazioni prive di dati personali. Spesso si fa confusione tra tutela dei dati personali e sicurezza delle informazioni tout court (informazioni riservate e confidenziali ma che nulla hanno che vedere con dati personali).
Sicurezza dei programmi
modificaIl problema della sicurezza dei programmi (sistemi operativi e applicazioni) si è posto all'attenzione degli sviluppatori di software come conseguenza della sensibile crescita dell'uso degli strumenti informatici e di Internet. Per quanto riguarda la produzione di software "protetti", il concetto di sicurezza si può definire come l'assenza di condizioni conflittuali capaci di produrre danni mortali o irreparabili a un sistema. Nella progettazione di software è quindi fondamentale raggiungere il compromesso più funzionale tra l'efficienza d'uso del programma in questione e la sua capacità di "sopravvivenza" ad attacchi esterni e a errori più o meno critici. Il livello base della sicurezza dei programmi è fornito dalla sicurezza del sistema operativo su cui poggiano i programmi applicativi.
Caratteristiche di sicurezza
modificaDue caratteristiche fondamentali esplicano il concetto di sicurezza:
- Safety (sicurezza): una serie di accorgimenti atti ad eliminare la produzione di danni irreparabili all'interno del sistema.
- Reliability (affidabilità): prevenzione da eventi che possono produrre danni di qualsiasi gravità al sistema.
Un software (o programma) è tanto più sicuro quanto minori sono le probabilità che si verifichi un guasto e la gravità del danno conseguente al guasto stesso.
In ordine crescente, i possibili effetti dei guasti in cui può incorrere un software sono:
- nessun effetto;
- danno trascurabile;
- danno significativo;
- danno elevato;
- danno catastrofico.
Verifica della sicurezza di un programma
modificaUna volta prodotto il software si procede alla verifica del suo comportamento, in modo tale da effettuare una ricerca estesa dei difetti presenti, per passare poi alla loro eventuale eliminazione. Esistono diversi modelli di sicurezza per il controllo dei programmi, basati su due metodi differenti:
- Semantic-based security model (modelli di sicurezza basati sulla semantica): la sicurezza del programma controllato viene esaminata in termini di comportamento del programma
- Security-typed language (modelli di sicurezza basati sul linguaggio): i tipi delle variabili sono seguiti dall'esplicazione delle politiche adottate per l'uso dei dati battuti.
Per essere efficace un programma deve essere controllato nelle sue specifiche e deve essere privo di difetti nel codice: a questo fine viene effettuato un controllo delle specifiche del programma e delle prestazioni correlate all'affidabilità; in secondo luogo viene analizzata ogni parte di codice e funzione del sistema.
Errori di programma
modificaL'Institute of Electrical and Electronics Engineers ha catalogato gli errori nel software in tre diverse categorie a seconda della natura degli errori stessi:
- Error: è un errore umano verificatosi durante il processo di interpretazione delle specifiche oppure durante l'uso di un metodo o nel tentativo di risoluzione di un problema.
- Failure: è un comportamento del software imprevisto e incongruo rispetto alle specifiche del programma stesso.
- Fault: è un difetto del codice sorgente.
Attacchi tipici
modificaContromisure
modifica- Aggiornamento di sistemi operativi con patch di sicurezza.
- Antivirus: consente di proteggere il proprio computer da software dannosi, conosciuti come virus. Un buon antivirus deve essere costantemente aggiornato ad avere in continua esecuzione le funzioni di scansione in tempo reale. Per un miglior utilizzo l'utente deve avviare con regolarità la scansione dei dispositivi del computer (dischi fissi, dischi rimovibili, CD, DVD), per verificare la presenza di virus, worm ecc. Per evitare la diffusione di virus è inoltre utile controllare tutti i file che si ricevono o che vengono spediti tramite posta elettronica facendoli verificare dall'antivirus correttamente configurato a tale scopo.
Sicurezza dei sistemi informatici
modificaL'approccio odierno alla cybersecurity si focalizza sul cosa e come fare per prevenire un incidente di sicurezza e come comportarsi nel caso un tale incidente si verifichi. Ciò è anche confermato nelle linee guida (cybersecurity framework)[6] emanate dal National Institute of Standards and Technology (NIST) che prevedono i seguenti macro-processi:
- Identifica (identify)
- Proteggi (protect)
- Rileva (detect)
- Rispondi (respond)
- Recupera/ripristina (recover).
Analisi del rischio
modificaLa cosiddetta analisi del rischio parte dall'identificazione dei beni da proteggere, per poi valutare le possibili minacce in termini di probabilità di occorrenza e relativo danno potenziale (gravità). In base alla stima del rischio si decide se, come e quali contromisure di sicurezza adottare (piano di rischio). L'analisi del rischio tipicamente precede la fase di messa in esercizio del sistema informatico.
Spesso l'obiettivo dell'attaccante non è rappresentato dai sistemi informatici in sé, ma piuttosto dai dati in essi contenuti: la sicurezza informatica è quindi interessata ad impedire gli accessi illeciti non solo agli utenti non autorizzati, ma anche a soggetti con autorizzazione limitata a specifiche operazioni, per evitare che dei dati appartenenti al sistema informatico vengano copiati, modificati o cancellati.
Le violazioni possono essere molteplici: vi possono essere tentativi non autorizzati di accesso a zone riservate, furto di identità digitale o di file riservati, utilizzo di risorse che l'utente non dovrebbe potere utilizzare ecc. La sicurezza informatica si occupa anche di prevenire eventuali situazioni di denial of service (DoS). I DoS sono attacchi sferrati al sistema con l'obiettivo di renderne inutilizzabili alcune risorse in modo da danneggiare gli utenti del sistema.
Pentest
modificaIn aggiunta all'analisi del rischio è spesso eseguito un test di penetrazione, colloquialmente noto come pentest o hacking etico; esso è un attacco informatico simulato autorizzato su un sistema informatico, eseguito per valutare la protezione del sistema. Il test viene eseguito per identificare i punti deboli (denominati anche vulnerabilità), inclusa la possibilità per parti non autorizzate di accedere alle funzionalità e ai dati del sistema, e punti di forza, consentendo una valutazione completa del rischio. Non deve essere confuso con una semplice valutazione della vulnerabilità[7] in quanto la prova non si limita a identificare debolezze ma tenta di violare le protezioni (se esistenti). Un penetration test, pur essendo una prova di sicurezza, richiede esso stesso, per sua natura, che sia predisposto un piano di sicurezza.
Minacce e vulnerabilità
modificaI sistemi informatici sono attaccabili da minacce che possono sfruttare vulnerabilità (minaccia e vulnerabilità sono concetti contigui ma distinti[8]): questo potrebbe causare attacchi volti alla protezione degli accessi (con eventuale rischio ai dati) oppure a minarne la funzionalità o disponibilità di servizio. Spesso dal funzionamento o meno del sistema informatico dipende anche la sicurezza delle informazioni in esso contenute. Le cause di out of service (indisponibilità) dei sistemi informatici possono essere raggruppate in due classi di eventi:
- eventi accidentali;
- eventi indesiderati.
In taluni contesti una minaccia la si deve per lo più considerare come scontata, di fronte alla quale si può direttamente fare poco, mentre sulle vulnerabilità sfruttabili da questa minaccia si può normalmente agire (anzi: la gran parte dei metodi di protezione agisce sulle vulnerabilità e non sulle minacce).
Eventi accidentali
modificaGli eventi accidentali non riguardano attacchi malevoli, ma fanno riferimento a eventi causati accidentalmente dall'utente stesso, tipo: uso difforme dal consigliato di un qualche sistema, incompatibilità di parti hardware, guasti imprevisti, eliminazione o disinstallazione per errore, ecc. Tutti questi eventi compromettono la sicurezza del sistema soprattutto in termini di disponibilità. Non esistono soluzioni generali per evitare gli eventi accidentali; un primo rimedio è il fare regolarmente una copia di backup del sistema, comprendente dati e applicazioni, com'è tipico delle procedure di disaster recovery, in modo da poter fronteggiare un danno imprevisto.
Eventi indesiderati
modificaGli eventi indesiderati sono i cosiddetti attacchi da parte di utenti non autorizzati al trattamento di dati o all'utilizzo di servizi. Alcuni degli eventi indesiderati che si possono subire possono essere:
- attacchi malevoli;
- uso delle autorizzazioni per l'accesso a sistemi o aree, da parte di utenti non autorizzati (privilege escalation).
Principali cause di perdita di dati
modificaLe cause di probabile perdita o compromissione di dati nei sistemi informatici possono essere classificate in:
- Malware.
- Smarrimento o furto di documenti, dispositivi mobili o fissi.
- Divulgazione non intenzionale.
- Frodi con carte di pagamento.[9]
Attacchi tipici
modificaGli attacchi malevoli vengono fatti, tramite la rete Internet o altra connessione, da parte di utenti remoti che, usando software particolari, a volte creati da loro stessi, si inseriscono abusivamente all'interno del sistema, riuscendo a ottenere disponibilità della macchina, per gestire risorse e dati senza avere i giusti requisiti richiesti. Casi tipici di attacco sono:
- Buffer overflow;
- Denial of service;
- Hacking.
- Ingegneria sociale.
- Keylogging.
- Backdoor.
- Spoofing.
- Social network poisoning.
- Spyware.
Un caso un po' diverso è l'accesso a sistemi da parte di utenti non autorizzati: consiste nell'accesso non autorizzato alla varie risorse e servizi del sistema, ma a differenza di un attacco malevolo, viene usata la macchina e non la rete (es. exploit e shellcode).
Effetti
modificaNei casi peggiori gli attacchi possono provocare gravi danni a sistemi di interesse nazionale (es. una centrale nucleare che viene messa fuori servizio). La pericolosità degli attacchi più comuni consiste non solo nella presa di possesso di requisiti, dati e servizi altrui, ma anche causa all'utente cosiddetto “derubato” una sorta di insicurezza a far fede sui sistemi informatici che spesso fanno parte della vita quotidiana.
Termine alternativo e neutro di effetto è "impatto".
Misure di sicurezza
modificaLa protezione dagli attacchi informatici viene ottenuta agendo a due livelli principali:
- sicurezza fisica (detta anche "sicurezza fisica ed ambientale");
- sicurezza logica (che, sostanzialmente, è quella ottenuta tramite l'informatica e/o telematica).
Esiste anche il livello di sicurezza organizzativa, costituito da procedure, politiche, autorità e responsabilità, obiettivi e sorveglianza. Inoltre, nell'ultimo decennio in particolare, è emersa con sempre maggiore evidenza l'importanza del fattore umano negli attacchi informatici (consapevolezza).
Sicurezza passiva (sicurezza fisica)
modificaPer sicurezza passiva normalmente si intendono le tecniche e gli strumenti di tipo difensivo, ossia il complesso di soluzioni tecnico-pratiche il cui obiettivo è quello di impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, dispositivi, apparati, informazioni e dati di natura riservata. Il concetto di sicurezza passiva pertanto è molto generale: ad esempio, per l'accesso fisico a locali protetti, l'utilizzo di porte di accesso blindate, congiuntamente all'impiego di sistemi di identificazione personale, sono da considerarsi componenti di sicurezza passiva.
Innanzitutto a livello fisico e materiale, ponendo i server in luoghi il più possibile sicuri, dotati di sorveglianza e/o di controllo degli accessi, nonché di sistemi di protezione da danni (fuoco, acqua, sbalzi di corrente, eventi catastrofici, ecc); anche se questo accorgimento fa parte della sicurezza fisica e non della "sicurezza informatica", spesso il fatto di adottare le tecniche più sofisticate genera un falso senso di sicurezza che può portare a trascurare quelle semplici.
La sicurezza ambientale è la sicurezza di protezione fisica applicata alle strutture edilizie (edifici, stanze, vani e piani, aree di passaggio o ingresso/uscita o sosta, ecc.) o agli impianti tecnologici relativi alle costruzioni edili (elettrico, climatizzazione, antincendio, termoidraulico, controllo accessi, rete dati, anti effrazione, ecc.). Una sbarra ad un varco carrabile, una telecamera all'ingresso principale di una sede, una canalina cavi anti effrazione posta sui muri esterni, una chiave elettronica per accedere ad un piano/stanza, un tornello ad una porta/varco, il raffrescamento e un sensore anticendio di una sala CED, sono esempi di dispositivi di sicurezza ambientale.
Sicurezza attiva (sicurezza logica)
modificaPer sicurezza attiva si intendono le tecniche e gli strumenti mediante i quali le informazioni e i dati (nonché le applicazioni) sono resi sicuri, proteggendo gli stessi sia dalla possibilità che un utente o un servizio non autorizzato possano accedervi (confidenzialità), sia dalla possibilità che un utente o un servizio non autorizzati possano modificarli (integrità), sia che le risorse mantengano la disponibilità prevista. In questa categoria rientrano sia strumenti hardware che software.
Questo livello è normalmente logico e prevede l'autenticazione e l'autorizzazione di un'entità che rappresenta l'utente o il servizio nel sistema. Le operazioni effettuate dall'utente durante il processo di autenticazione sono tracciate in file di log. Questo processo di tracciamento delle attività è detto accountability. A esso si associa la successiva fase di audit che è la valutazione di conformità (alle regole) dei dati di log. A volte viene usato il termine audit per entrambe le fasi.
La sicurezza passiva e quella attiva sono tra loro complementari ed entrambe indispensabili per raggiungere un livello di sicurezza adeguato.
Audit di sicurezza
modificaA metà strada tra la sicurezza logica e quella organizzativa è l'audit (informatico) di sicurezza. Esso è eseguito attraverso specifici strumenti dei sistemi operativi o applicazioni software particolari; tramite l'audit è possibile mappare lo stato di sicurezza (ed, eventualmente, di conformità a norme e policy) relativo a impostazioni o utilizzi di apparati, servizi, terminali.
Come detto sopra, la valutazione informatizzata dei log, associata alla relativa comparazione con le regole definite, è un altro esempio di audit di sicurezza. Esistono sistemi informatici che automatizzano il monitoraggio di sicurezza dei log e degli eventi in generale. Sono audit perché i risultati della scansione sono confrontati con i requisiti di conformità impostati (regole interne, normative, bollettini dei vendor, metriche suggerite dalle organizzazioni che si occupano di sicurezza, come l'OWASP).
Questo tipo di audit, svolto da strumenti informatici, è differente dagli audit intesi come verifiche ispettive (queste, invece, sono eseguite da persone che le conducono ai processi del sistema di gestione).
Il fattore umano
modificaNumerose ricerche hanno negli ultimi anni evidenziato come il fattore umano sia una componente essenziale dell'attacco informatico. L'utente finale è oggi considerato l'anello debole del sistema uomo-macchina[10] ed è stimato che più del 90% degli incidenti di sicurezza hanno all'origine una qualche forma di errore umano[11][12]. Tra le forme più comunemente rilevate di errori e abitudini rischiose troviamo una inadeguata gestione delle proprie password, l'incapacità di riconoscere siti fraudolenti, allegati email pericolosi e URL ingannevoli. Vista l'importanza della componente umana nella determinazione del cyber-rischio complessivo a cui una organizzazione è esposta[13], l'addestramento alla sicurezza in ambito informatico, mirato ad incrementare la consapevolezza dell'utente finale, a tutti i livelli, non solo consente di conformarsi ai regolamenti di settore e alle buone pratiche della cyber-difesa ma è oggi considerato essenziale[14] nella riduzione del rischio.
L'attenzione per l'utente finale rappresenta un cambiamento culturale profondo per molti operatori nel campo della sicurezza informatica, che hanno tradizionalmente affrontato il problema da una prospettiva esclusivamente tecnica, e segue le linee guida indicate dai maggiori 'security centers' mondiali[15], che incoraggiano a sviluppare all'interno dell'azienda una cultura della sicurezza, riconoscendo che un utente consapevole costituisce una importante linea di difesa contro gli attacchi informatici.
Nell'ambito dell'analisi dei rischi connessi alla sicurezza informatica, gli errori o i comportamenti difformi/illegittimi dell'utente e/o dell'addetto con ruoli privilegiati (sviluppatori, sistemististi, collaudatori, ecc.) sono identificati come minacce che potrebbero sfruttare vulnerabilità di diverse categorie.
Altri fattori
modificaSecondo una ricerca effettuata da NordVPN, il rischio di diventare vittima di attacchi informatici dipende anche dal paese e da altri importanti fattori. NordVPN e Statista hanno infatti stilato una classifica dei paesi a "più alto rischio di attacchi informatici", basandosi su variabili comuni per ogni singolo paese:
- Popolazione
- Salario medio mensile
- Turismo
- Tempo speso su internet
- Diffusione di internet, smartphone, e-commerce, videogiochi online, streaming, Facebook, Instagram
- Indice di criminalità
Dalla analisi (che assegnava ad ogni paese un punteggio tra 0 e 1, in base alla pericolosità) è emerso come siano proprio i paesi più sviluppati ad essere più a rischio; alta redditività, infrastrutture tecnologiche avanzate e alto livello di digitalizzazione porterebbero ad un livello più alto di crimini informatici. Su 50 paesi analizzati, è emerso come sia l'Islanda ad essere il paese a più alto rischio di attacchi informatici, mentre l'Italia si posiziona esattamente a metà, al 24º posto.[16] La classifica completa, con l'elenco dei paesi in ordine di pericolosità da 1° a 50°, è pubblica ed è facilmente consultabile su NordVPN - Cyber Risk Index.
Parametri di protezione
modificaLa protezione degli asset informatici è ottenuta attraverso misure di carattere tecnico e organizzativo, sia di prevenzione che di protezione, tese ad assicurare:
- l'accesso protetto e controllato ai dati, a garanzia della confidenzialità delle informazioni trattate (proprietà di riservatezza)
- la consistenza dei dati, intesa come completezza e correttezza degli stessi (proprietà di integrità)
- l'accesso ai dati nei tempi e nei luoghi previsti (proprietà di disponibilità).
Queste tre caratteristiche vengono spesso citate utilizzando la definizione "CIA Triad"[17] (da Confidentiality, Integrity, Availability).
Le proprietà di riservatezza, integrità e disponibilità dei dati costituiscono l'assunto base sul quale vengono svolte tutte le successive valutazioni di sicurezza. Tali proprietà sono in genere affiancate anche dalla proprietà di non ripudio, ovvero dalla possibilità di attribuire con certezza un dato ad un certo mittente (o proprietario) e ad un certo destinataro (o ricevente) univocamente identificati. Una variante dell'integrità è l'immodificabilità[18] di un'informazione (la non modificabilità dei log degli amministratori o di altri critici sono casi tipici).
Il raggiungimento della disponibilità dipende da diversi fattori che interferiscono tra utente e sistema, quali: robustezza del software di base e applicativo, affidabilità delle apparecchiature e degli ambienti in cui essi sono collocati. Spesso dal funzionamento o meno del sistema informatico dipende anche la sicurezza dei dati in esso contenuti.
Contromisure
modificaLe possibili tecniche di attacco sono molteplici, perciò è necessario usare contemporaneamente diverse tecniche difensive per proteggere un sistema informatico, interponendo barriere fra l'attaccante e l'obiettivo. Il sistema informatico deve essere in grado di impedire l'alterazione diretta o indiretta delle informazioni, sia da parte di utenti non autorizzati, sia a causa di eventi accidentali; inoltre deve impedire l'accesso abusivo ai dati. Inoltre in generale non è buona norma assumere che le contromisure adottate in un sistema siano sufficienti a scongiurare qualsiasi attacco.
Per far fronte a evenienze derivanti da possibili guasti o danni fisici, come sicurezza fisica o passiva molte volte si opera in un contesto di ridondanza degli apparati (es. server cluster) ovvero con sistemi distribuiti all'interno di piani di disaster prevention che, assicurando la tolleranza ai guasti (fault tolerance), garantiscano affidabilità e disponibilità, cioè la continuità operativa del sistema informatico e dell'azienda. A volte si preferisce agire anche in maniera preventiva tramite piani di disaster prevention.
Tra le contromisure più comuni di tipo logico sulla rete locale di un sistema e sui suoi sottosistemi troviamo:
- Sistema di autenticazione: può essere utile l'utilizzo di software per l'autenticazione sicura con un secondo elemento di autenticazione basato su un insieme di caratteri disposti in uno schema suddiviso in file e colonne conosciute dall'utente che dovrà poi inserirle in una combinazione di valori per dimostrare di essere in possesso dei dati corretti. Altro sistema, più sofisticato, è quello del riconoscimento dell'utente tramite l'utilizzo dell'impronta digitale come forma di autenticazione.
- Gestione utenti e relativi permessi;
- Mandatory Access Control (MAC), tipologia di controllo di accesso a un sistema informatico.
- Firewall: installato e ben configurato un firewall garantisce un sistema di controllo dei flussi, verificando tutto il traffico che lo attraversa. Protegge contro aggressioni provenienti dall'esterno e blocca eventuali programmi presenti sul computer che tentano di accedere a internet senza il controllo dell'utente.
- Intrusion detection system (IDS): è un dispositivo software e hardware (a volte la combinazione di tutti e due) utilizzato per identificare accessi non autorizzati ai computer. Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici. Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Un IDS è composto da quattro componenti. Uno o più sensori utilizzati per ricevere le informazioni dalla rete o dai computer. Una console utilizzata per monitorare lo stato della rete e dei computer e un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica. Il motore di analisi si appoggia a un database ove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza.
- Honeypot: un honeypot (letteralmente: "barattolo del miele") è un sistema o componente hardware o software usato come trappola o esca a fini di protezione contro gli attacchi di pirati informatici. Solitamente consiste in un computer o un sito che sembra essere parte della rete e contenere informazioni preziose, ma che in realtà è ben isolato e non ha contenuti sensibili o critici; potrebbe anche essere un file, un record, o un indirizzo IP non utilizzato.
Ulteriori contromisure
modifica- Backup: più che un sistema di difesa si tratta di un utile metodo per recuperare dati eventualmente persi o danneggiati (Disaster recovery). Il backup consiste nell'esecuzione di una o più copie di sicurezza dei dati di un sistema informatico, o comunque di dati considerati importanti, onde evitare che vadano perduti o diventino illeggibili.
- Antispyware: è una tipologia di software reperibile in varie versioni. Può essere utile per la rimozione di spyware o "file spia", in grado di carpire informazioni riguardanti le attività dell'utente e inviarle a un'organizzazione che le utilizzerà per trarne profitto.
- Steganografia: si pone come obiettivo di mantenere nascosta l'esistenza di informazioni a chi non conosce la chiave atta ad estrarle, mentre per la crittografia è rendere le informazioni inaccessibili a chi non conosce la chiave.
- Network Intrusion Detection System (NIDS): sono degli strumenti informatici, software o hardware, dediti ad analizzare il traffico di uno o più segmenti di una LAN al fine di individuare anomalie nei flussi o probabili intrusioni informatiche. I più comuni NIDS sono composti da una o più sonde dislocate sulla rete, che comunicano con un server centralizzato, che in genere si appoggia ad un Database. Fra le attività anomale che possono presentarsi e venire rilevate da un NIDS vi sono: accessi non autorizzati, propagazione di software malevolo, acquisizione abusiva di privilegi appartenenti a soggetti autorizzati, intercettazione del traffico (sniffing), negazioni di servizio (DoS).
- Firma digitale: è possibile proteggere documenti e dati sensibili da accessi non autorizzati utilizzando meccanismi di sicurezza specifici quali: la crittografia, la firma digitale, e l'utilizzo di certificati digitali e algoritmi crittografici per identificare l'autorità di certificazione, un sito, un soggetto o un software.
Sicurezza nelle reti
modificaUn altro filone della sicurezza informatica si occupa delle problematiche di sicurezza connesse alla trasmissione di informazioni confidenziali in rete o su qualunque sistema di telecomunicazioni ovvero l'invio e la ricezione di dati confidenziali protetti ovvero protezione dei dati in transito.
Attacchi tipici
modificaContromisure
modificaIn tale ambito sono diffuse tecniche di autenticazione (Kerberos) e crittografia come contromisure allo sniffing. Sul fronte tecnico le misure di protezione in rete si concretizzano nell'uso di opportuni protocolli di rete quale HTTPS, SSL, TLS, IPsec e SSH che non fanno altro che applicare i metodi crittografici su uno o più livelli di architettura di rete del modello ISO/OSI.
Sicurezza della rete Internet
modificaCon la crescita a dismisura di internet e del World Wide Web, le problematiche di sicurezza si sono estese anche ad essa e servono quindi idee e principi su cui basarsi. Per far fronte ai rischi che si corrono utilizzandola, l'Unione europea mette il suo contributo tramite il programma di protezione "Safer Internet".
Safer Internet
modificaL'idea del programma di protezione della rete "Safer Internet" è nata a seguito della crescita di internet e per la crescente presenza di bambini a contatto con questo mondo. "Safer Internet", introdotto dal Parlamento europeo l'11 maggio 2005, vuole promuovere l'uso sicuro di internet soprattutto per i bambini: una rete europea di 21 linee nazionali attraverso le quali gli utenti finali possono denunciare anonimamente la presenza di contenuti illegali su internet, e la creazione di 23 nodi nazionali di sensibilizzazione per promuovere un uso sicuro di internet, rivolto ai bambini, ai genitori e agli insegnanti. Oltre ai provvedimenti di autoregolamentazione e allo sviluppo di tecnologie adeguate, l'istruzione gioca un ruolo chiave. È indispensabile, infatti, la partecipazione e l'istruzione di genitori e insegnanti, spesso digiuni in materia di internet, che seguano con costanza i ragazzi nella navigazione, fornendo loro gli strumenti critici necessari per un approccio consapevole alla rete.
Certificazione
modificaProdotti software o sistemi informatici possono essere certificati nei loro attributi di sicurezza, con valore aggiunto sul prodotto o sistema stesso in termini pubblicitari di sicurezza (certificazione di qualità in termini di sicurezza), da organismi competenti riconosciuti, in base a uno Standard di sicurezza informatica. Tipicamente il processo di certificazione passa attraverso una fase di valutazione del prodotto/sistema (detto OdV, cioè oggetto della valutazione) da parte di un laboratorio di valutazione accreditato, per il quale il committente/sviluppatore dell'operazione ha identificato un cosiddetto traguardo di sicurezza (TdS) in termini di specifiche che il suo prodotto dovrebbe assicurare. Nel TdS è solitamente definito il livello di garanzia della valutazione. Compito del valutatore è verificare per mezzo dell'attività valutativa la congruenza o meno del prodotto/sistema alle specifiche di sicurezza richieste dal committente/sviluppatore, attraverso opportuni criteri di valutazione, redigendo poi un rapporto e un certificato finale di pubblico dominio.
La sicurezza informatica è una importante componente del framework ITIL 4.
Questioni giuridiche e regolamentazione globale
modificaUna delle principali battaglie e delle lamentele dell'industria degli antivirus è quella relativa alla creazione di una regolamentazione unificata e globale, una base di regole comuni per giudicare legalmente, ed eventualmente punire, i crimini informatici e i criminali informatici. Infatti, ancora oggi, anche se una società produttrice di antivirus dovesse riuscire a scoprire chi è il criminale informatico dietro alla creazione di un particolare virus o di un malware o di un qualsiasi attacco informatico, spesso le autorità locali non possono comunque agire.[19][20] Questo è principalmente dovuto al fatto che praticamente ogni stato ha una sua propria regolamentazione, differente da quella degli altri stati.
«[Computer viruses] switch from one country to another, from one jurisdiction to another — moving around the world, using the fact that we don't have the capability to globally police operations like this. So the Internet is as if someone [had] given free plane tickets to all the online criminals of the world."[19]»
Ed è anche grazie ad alcune società europee produttrici di AntiVirus (e.g. BullGuard, F-Secure, Frisk, Panda, Sophos, TG Soft, ...) che, per risolvere il problema, la Commissione europea ha deciso di fondare l'EC3 (European Cybercrime Centre).[21] L'EC3 è stato ufficialmente aperto il primo gennaio 2013. L'EC3 si focalizzerà nella lotta della UE contro i crimini informatici.[22]
Note
modifica- ^ Cibersicurezza: la risposta dell'UE alle minacce informatiche, su consilium.europa.eu. URL consultato il 24 marzo 2022.
- ^ ISACA, CSX Cybersecurity Fundamentals Study Guide, Rolling Meadows, IL 60008 USA, ISACA, 2015, pp. 5, 190, ISBN 978-1-60420-594-7.
- ^ (EN) Daniel Schatz, Rabih Bashroush e Julie Wall, Towards a More Representative Definition of Cyber Security, in The Journal of Digital Forensics, Security and Law, vol. 12, n. 2, 2017, DOI:10.15394/jdfsl.2017.1476, ISSN 1558-7215 . URL consultato il 13 aprile 2022.
- ^ Relazione sull'esistenza di un sistema d'intercettazione globale per le comunicazioni private ed economiche (sistema d'intercettazione Echelon) (2001/2098 (INI)) del Parlamento europeo, 11 luglio 2001
- ^ Cos'è la sicurezza delle informazioni (InfoSec)?, su microsoft.com.
- ^ Cybersecurity Framework, su nist.gov.
- ^ Justin Seitz, Black Hat Python: Python Programming for Hackers, No Starch Press, 14 aprile 2021, ISBN 978-1718501126.
- ^ Senza una vulnerabilità da sfruttare la minaccia permane ma il rischio correlato è teorico ovvero potenziale.
- ^ (EN) Privacy Rights Clearinghouse | Data Breaches, su privacyrights.org. URL consultato il 16 marzo 2017.
- ^ Studies prove once again that users are the weakest link in the security chain, su CSO Online.
- ^ The Role of Human Error in Successful Security Attacks, su IBM Security Intelligence.
- ^ 90% of security incidents trace back to PEBKAC and ID10T errors, su Computerworld.
- ^ The Human Component of Cyber Risk, su The Coruscan Project.
- ^ Risky business: why security awareness is crucial for employees, su The Guardian.
- ^ Developing a Security Culture, su CPNI - Centre for the Protection of National Infrastructure. URL consultato il 25 novembre 2019 (archiviato dall'url originale il 9 ottobre 2018).
- ^ Cyber Risk Index: Global Research on Cyber Risk | NordVPN, su nordvpn.com, 6 maggio 2020. URL consultato il 27 agosto 2020.
- ^ Sean Brooks & Ellen Nadeau (2015), Privacy Risk Management for Federal Information Systems. Information Technology Laboratory, NIST, Gaithersburg, MD.
- ^ Deve essere una proprietà assoluta: niente e nessuno può apportare alcuna modifica.
- ^ a b Mikko Hypponen: Fighting viruses, defending the net, su ted.com. URL consultato il 4 maggio 2019 (archiviato dall'url originale il 22 febbraio 2014).
- ^ Mikko Hypponen - Behind Enemy Lines, su youtube.com.
- ^ European Cybercrime Centre set for launch, su virusbulletin.com.
- ^ Europol European Cybercrime Centre (EC3), su europol.europa.eu.
Bibliografia
modifica- G. M. Schneider, J. L. Gersting, Informatica, edizione italiana, Apogeo, Milano 2007
- ISACA, CSX Cybersecurity Fundamentals, 2015, ISBN 978-1-60420-594-7
- R. Baldoni, R. De Nicola, Il Futuro della Cybersecurity in Italia, Consorzio Cini, 2015, ISBN 9788894137309
- R. Baldoni, L. Montanari, 2015 Italian Cybersecurity Report. Un Framework Nazionale per la Cybersecurity, 2017, Research Center of Cyber Intelligence and Information Security - Sapienza Università di Roma ISBN 9788894137316
- R. Baldoni, L. Montanari, L. Querzoni, 2016 Italian Cybersecurity Report. Controlli essenziali di Cybersecurity, 2017, Research Center of Cyber Intelligence and Information Security - Sapienza Università di Roma ISBN 978-88-941-3732-3
- R. Marchetti, R. Mulas, Cyber security. Hacker, terroristi, spie e le nuove minacce del web, 2017, Luiss University Press, ISBN 9788861052666
- R. Baldoni, R. De Nicola, P. Prinetto, Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici, 2018, ISBN 9788894137330
- v. De Luca, G. Terzi di Sant'Agata, F. Voce, Il ruolo dell'Italia nella sicurezza cibernetica. Minacce, sfide e opportunità, 2018, Franco Angeli, ISBN 9788891768049
- Giorgio Sbaraglia, Cyber security. Kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!, 2018, Clusit, goWare, Firenze, ISBN 978 88 3363 096 0
- Luigi Zamprotta, La sicurezza in un ufficio pubblico:criticità,soluzioni,prospettive, 2019, tesi di Master in Sicurezza delle reti informatiche, Università degli studi Niccolò Cusano - Telematica Roma
Voci correlate
modifica- Audit
- Security manager
- Crittografia
- ENISA
- Standard di sicurezza informatica
- Standard ISO 27001:2005
- Intelligence
- Danneggiamento informatico
- Accesso abusivo ad un sistema informatico o telematico
- Chiave biometrica
- Security Operation Center
- Privilege escalation
- Protezione del database
- Data loss prevention
- Disaster recovery
- EBIOS
- Mandatory Access Control
- Hardening
- Sicurezza del cloud computing
- SIEM
- Privacy
- Regolamento generale sulla protezione dei dati
- Codice della Privacy
- Malware
- Sicurezza dei sistemi operativi
- Attacco informatico
- Attaccante (informatica)
- Penetration test
- Vulnerabilità informatica
- Data breach
Altri progetti
modifica- Wikiquote contiene citazioni sulla sicurezza informatica
- Wikizionario contiene il lemma di dizionario «sicurezza informatica»
- Wikimedia Commons contiene immagini o altri file sulla sicurezza informatica
Collegamenti esterni
modifica- sicurézza informàtica, su Treccani.it – Enciclopedie on line, Istituto dell'Enciclopedia Italiana.
- cybersicurezza, su Vocabolario Treccani, Istituto dell'Enciclopedia Italiana, 2008.
- Leopoldo Benacchio, sicurezza informatica, in Enciclopedia dei ragazzi, Istituto dell'Enciclopedia Italiana, 2004-2006.
- (EN) computer security, su Enciclopedia Britannica, Encyclopædia Britannica, Inc.
- (EN) Opere riguardanti Sicurezza informatica, su Open Library, Internet Archive.
- (EN) Denis Howe, security, in Free On-line Dictionary of Computing. Disponibile con licenza GFDL
- (EN) http://ec.europa.eu/information_society/activities/sip/index_en.htm Safer Internet Europa
- Raccolta della normativa applicabile in materia di sicurezza dei dati, CyberLaws.it
- [1] Clusit, Associazione italiana per la sicurezza informatica
Controllo di autorità | Thesaurus BNCF 53276 · LCCN (EN) sh90001862 · GND (DE) 4274324-2 · BNF (FR) cb13318381w (data) · J9U (EN, HE) 987007551323005171 |
---|