Oggi la protezione dei dati aziendali deve essere uno dei principali obiettivi dei responsabili IT. La scoperta di vulnerabilità in sistemi e applicazioni con altissimi livelli di sicurezza, infatti, non è purtroppo più un fatto episodico. Inoltre, spesso il “fattore umano”, in modo del tutto inconsapevole, vanifica anche le più evolute ed efficaci barriere create contro agli attacchi dall’esterno, spalancando le porte ai criminali informatici.
Gli attacchi informatici aziendali più diffusi
Il Global Security Report 2023 del World Economic Forum certifica un rischio crescente alla sicurezza dei dati aziendali. Viene percepito dagli stessi manager interpellati nel sondaggio, il 43% dei quali è convinto che sarà soggetto a un cyberattacco nei prossimi 2 anni. I rischi maggiori arrivano in particolare da attacchi di tipo:
- - phishing, in cui l’accesso a dati sensibili viene guadagnato usando credenziali apparentemente legittime, per esempio una mail inviata da una banca o simili;
- - malware, in cui viene installato un programma “malevolo” inviato generalmente come eseguibile in allegato a una mail;
- - ransomware, nel quale al furto di dati o blocco del sistema segue la richiesta di un riscatto per far cessare l’attacco.
Questi e altri rischi vengono oggi amplificati da una maggiore instabilità del quadro geopolitico, che espone all’azione di veri e propri corsari informatici coadiuvati da strutture più o meno ufficiali. Anche l’evoluzione tecnologica aumenta i pericoli: l’AI e nuove tecniche di mascheramento permettono infatti di camuffare sempre meglio un attacco informatico. Infine, l’interconnessione crescente è un ulteriore fattore di rischio, perché gli hacker possono accedere ai dati aziendali sfruttando le vulnerabilità di un operatore attivo nella supply chain.
Come proteggere i dati aziendali
È un fatto indiscusso che i dati rappresentino un valore inestimabile per l’azienda. Non ci si può quindi permettere che siano violati. E questo non solo per motivi di business, ma anche di immagine e di fiducia da parte dei clienti. Non bisogna poi dimenticare l’aspetto legale. Con l’entrata in vigore nel 2018 del GDPR è stato infatti imposto di dover rispondere davanti alla legge nel caso di perdita dei dati sensibili.
Considerato però che non esiste un sistema che assicuri la protezione al 100% dei dati aziendali, come si può fare per limitare gli effetti di una violazione? Una soluzione c’è ed è di agire sui dati stessi. Il modo è concettualmente semplice: si rendono i dati illeggibili a chi è esterno all’azienda. Ma anche da parte di chi, all’interno, non è autorizzato.
Tra le tecniche oggi più usate ci sono la crittografia, l’hardening e il mascheramento.
Crittografia: la tecnica più usata per la protezione dei dati
La crittografia è il sistema più usato quando si vogliono proteggere dei dati da accessi non autorizzati. In pratica, si traducono i dati in un'altra forma (codice) in modo che solo le persone che dispongono di una chiave segreta o di una password li possano leggere.
Esistono due tipi principali di crittografia: simmetrica e asimmetrica. I cifrari a chiave simmetrica usano la stessa chiave segreta per codificare e decodificare un messaggio o un file di dati. La crittografia asimmetrica utilizza invece due chiavi, una pubblica e una privata. La chiave pubblica può essere condivisa con tutti senza limitazioni, mentre la chiave privata deve essere protetta. La crittografia a chiave simmetrica è molto più veloce, ma il mittente deve scambiare la chiave di crittografia con il destinatario prima di poter consentire la decodifica. Poiché le aziende possono facilmente trovarsi nella condizione di dover distribuire e gestire in modo sicuro enormi quantità di chiavi, la maggior parte dei servizi di crittografia dei dati utilizza un algoritmo asimmetrico sia per codificare i dati sia per scambiare la chiave segreta.
Le soluzioni di crittografia sono spesso usate per proteggere dati all’interno di e-mail e dispositivi, soprattutto a fronte dell’uso massiccio dei dipendenti di dispositivi esterni, supporti rimovibili e applicazioni web.
Hardening dei sistemi, per proteggere un sistema dagli attacchi
All’interno di un’organizzazione andrebbe attuata una diversificata politica di protezione di tutti i dati aziendali. Questo spesso non accade perché sono definite policy in funzione dei criteri di accesso alle applicazioni anziché dell’uso che si deve fare dei dati. In altre parole, si mettono in atto controlli "intorno" ai dati, non sui dati stessi.
In questa situazione, può rivelarsi utile rendere più strutturato il sistema di sicurezza attuando un’attività di hardening delle policy sull’uso dei dati per essere sicuri che rispecchino realmente il valore dei dati stessi. L'aspetto più importante è che la politica di sicurezza deve essere definita in termini di database, non di applicazione o di rete. I dati sono più importanti delle applicazioni e quindi si dovrebbe partire da loro per definire le credenziali di utilizzo. Definire una politica di sicurezza dei dati comporta dunque l’analisi delle specifiche classi di dati, degli attributi e dei requisiti di protezione. E quindi anche quali dati eventualmente crittografare oppure offuscare a determinati utenti.
Data masking o mascheramento dei dati sensibili
Un’ulteriore procedura per la protezione dei dati aziendali è il mascheramento (data masking). Questa prevede di creare una versione fake, ma realistica, dei dati sensibili per proteggerli, fornendo però nel contempo un'alternativa funzionale cui far ricorso quando i dati reali non sono necessari (come nel caso delle dimostrazioni di vendita, nei test del software o nella formazione degli utenti).
In pratica, siccome quello che si vuole ottenere è una versione dei dati che non possa essere decifrata, i processi di mascheramento cambiano i valori pur utilizzando lo stesso formato. Da precisare che, pur conservando validità e fruibilità, i dati non devono poter essere ricondotti all’identità originaria di una persona. Tra i metodi più usati per alterare i dati ci sono il rimescolamento dei caratteri, la sostituzione di parole e la crittografia.
Il mascheramento cautela nei confronti della perdita di dati, della compromissione degli account e di interfacce non sicure nella comunicazione con sistemi di terze parti. Inoltre, riduce i rischi associati all’uso dei dati nel cloud.
Anche con i dati codificati, mai abbassare la guardia
Crittografia, hardening e mascheramento sono tecniche efficaci per la protezione dei dati aziendali, ma non impediscono che eventuali attacchi abbiano successo. Per limitare la possibilità che, ad esempio, un ransomware si impossessi del database aziendale e è necessario che il livello di attenzione nei confronti della sicurezza dei sistemi IT sia sempre al massimo e in costante aggiornamento, installando tutte le patch non appena disponibili.
