La sicurezza delle informazioni consiste nella protezione dei dati personali e sensibili, preziosi per le aziende che vogliono ottenere un vantaggio competitivo, contro l’accesso, l’utilizzo, la modifica e la distruzione non autorizzati. Secondo il più recente rapporto Ipsos-EY il 45% delle imprese italiane hanno investito in cyber security, prediligendo un aumento della spesa per l’acquisto di tecnologie di sicurezza.
Nonostante la maggiore sensibilizzazione sul tema, il rapporto CLUSIT 2018 riferisce che almeno il 50% delle imprese globali sono state colpite da un attacco informatico. Insomma, dati alla mano, sembra che la strategia delle imprese nostrane, più attente all’acquisto di nuova tecnologia piuttosto che alla crescita della cultura aziendale in materia di sicurezza, non sia tra le più efficienti per arginare il fenomeno.
I dati riportati sono avvalorati dall’indagine condotta da Boston Consulting Group che riferisce le cause maggiori di Data Breach in azienda rilevando come gli errori organizzativi, procedimentali, ed umani sono la causa principale in quanto solo nel 28% dei casi si è verificato un accesso abusivo al sistema informatico per mancata adozione dell’ultima tecnologia in commercio. Un po’ come a dire che l’hardware è sì importante, ma senza una corretta configurazione e una buona manutenzione non si ottiene alcun risultato, anzi si rischia solo di peggiorare le cose.
Proprio per questo motivo l’offerta di figure professionali come quelle dell’ethical hacker oggi non riesce a soddisfare la domanda delle aziende. Un ethical hacker, noto anche come white hat hacker, è un esperto di sicurezza delle informazioni che tenta sistematicamente di penetrare un sistema informatico, una rete, o altre risorse di calcolo con il permesso del proprietario, al fine di trovarne le vulnerabilità che un hacker potrebbe potenzialmente sfruttare.
La metodologia utilizzata dagli ethical hackers è conosciuta come penetretion testing (o pentest) tra gli addetti ai lavori ed è costituita da cinque fasi:
1) Pre-engagement
In tale fase l’ethical hacker ha un colloquio con il cliente che gli ha commissionato il lavoro: durante tale colloquio esso deve acquisire informazioni su ciò che il cliente vuole ottenere dal test. E’ importante sottolineare infatti che non esiste un sistema informatico sicuro al 100%, ma occorre individuare le singole minacce e predisporre le adeguate misure di sicurezza;
2) Information gathering
Durante questa fase l’ethical hacker ha l’obiettivo di raccogliere quante più informazioni possibili per predisporre l’attacco al sistema informatico e valutarne le vulnerabilità. A titolo esemplificativo si comincia a ricavare l’indirizzo IP dell’infrastruttura, in modo da ottenere dati come contatti di posta elettronica, numeri telefonici e tutte le informazioni utili per l’esecuzione di un attacco.
3) Analisi delle vulnerabilità
Una volta ottenute le informazioni è possibile cominciare a valutare le vulnerabilità del sistema, utilizzando appositi programmi. In alcuni casi è molto semplice, in una piccola realtà potrebbe essere sufficiente rilevare che la password di default del router non è stata cambiata e, con una banale ricerca su internet è possibile accedere a tutte le configurazioni di rete del sistema.
4) Exploitation
Dopo aver scoperto le vulnerabilità del sistema è possibile sfruttarle cercando di accedere al sistema del client. Il principale tool utilizzato in tale fase è Metasploit.
5) Report
Il pentest si conclude con un report delle vulnerabilità riscontrate e le relative modifiche da apportare al sistema.
Al di là dell’aspetto meramente tecnico del penetretion testing, che coinvolge solo una fetta delle piccole e medie imprese italiane, l’Autorità Garante per la Privacy, con l’adozione e l’entrata in vigore del GDPR il 25 maggio 2018, sottolinea che tutte le realtà che trattano dati personali siano in grado di dimostrare le misure di sicurezza adottate per prevenire i data breach. Ciò significa in prima battuta essere in grado di dimostrare di aver sviluppato la cultura della sicurezza all’interno della propria realtà aziendale.
Diversi studi dimostrano che le difficoltà nella gestione della sicurezza sono particolarmente rilevanti quanto più è ridotta la dimensione dell’impresa e questo per due ordini di ragioni:
- il costo delle tecnologie in materia di sicurezza informatica;
- la mancata sensibilizzazione sul tema.
In conclusione, con l’entrata in vigore del GDPR l’Unione Europea pare essersi resa conto che la sicurezza informatica deve permeare tutti gli aspetti della gestione e dell’utilizzo del sistema informatico.
© RIPRODUZIONE RISERVATA
