Sfatiamo otto falsi miti riguardanti la Crittografia, l’ultimo argine tra il dato e la sua compromissione.
La Crittografia è senza ombra di dubbio la tecnologia più efficace nel ridurre significativamente la perdita o il furto di dati, in quanto, se anche alcuni di essi finissero nelle mani sbagliate, una volta cifrati sarebbe pressoché impossibile accedervi senza essere in possesso della chiave di decriptazione. Eppure, nonostante la sua comprovata efficacia, la percezione diffusa che se ne ha è spesso negativa.
In questo articolo abbiamo raccolto otto preconcetti diffusi, che ne frenano l’adozione in molte aziende italiane. Iniziamo senza ulteriori indugi a sfatare miti che nel 2019 non hanno alcun motivo di persistere!
Mito #1: “È una perdita di denaro”
In un recente studio commissionato da IBM e realizzato da Ponemon Institute LLC, è stato calcolato che in Italia il costo complessivo di un Data Breach si aggiri attorno ai 3 milioni di €. Per molte aziende nostrane questa singola evenienza sarebbe già letale; in realtà, come non bastasse, vanno aggiunti sia l’inevitabile danno d’immagine sia le sanzioni per violazione della normativa General Data Protection Regulation. Si noti inoltre che Ponemon non ha potuto includere alcun dato relativo al GDPR per penuria di dati nell’anno 2018 (ma ciò non significa che non abbia inciso…).
La crittografia va concepita in modo non molto dissimile da un’assicurazione: ci si accorge della sua utilità quando il problema si palesa. Potrebbe non accadere mai (vedremo più avanti nell’articolo quanto è saggio pensarla così…), ma nel malaugurato caso capitasse di rientrare nella percentuale “sfortunata” delle vittime di Data Leak o Ransomware, sarebbero davvero guai…
Mito #2: “È complicata da gestire”
Fino a pochi anni fa la Crittografia era effettivamente una disciplina complessa, tra Middleware, PKI, Smartcard e una pletora di policy di certificazione, ciascuna con le proprie peculiarità. Oggigiorno la situazione è decisamente migliorata, anche e soprattutto su impulso della normativa GDPR, con una gamma di prodotti e servizi alla portata sia tecnica che economica di qualunque realtà aziendale. La crittografia oggi costa meno ed è più trasparente nelle procedure di implementazione, grazie anche e soprattutto a modelli di distribuzione SaaS, in grado di abbattere costi di gestione e infrastruttura.
La stessa gestione dei certificati SSL è oggi più abbordabile che mai: le procedure sono standardizzate e di semplice applicazione, nonché spesso parzialmente (o totalmente) automatizzate. Quand’anche si incontrassero problemi, i principali distributori sono dotati di un supporto clienti in grado di fornire indicazioni utili nella fase d’installazione. Alcuni fornitori offrono addirittura un pacchetto “chiavi in mano” (con tanto di installazione eseguita direttamente da specialisti), per ridurre ulteriormente qualsiasi barriera residua all’adozione.
Ah… dimenticavamo, esiste anche una certa Let’s Encrypt.
Mito #3: “Esistono molte altre soluzioni altrettanto efficaci”
Spesso il concetto di Crittografia è associato a quello di Virtual Private Networks (VPN), tecnologia impiegata per veicolare dati in modo sicuro attraverso internet. Se è vero che i dati in transito nel canale VPN sono protetti, la stessa considerazione non è altrettanto valida per il terminale dove i dati risiedono fisicamente. Cosa accadrebbe in caso di furto del portatile o dello smartphone aziendale?
In quest’ottica, la strategia migliore è quella di integrare più metodologie di protezione, così da coprire ogni possibile punto vulnerabile dell’infrastruttura aziendale. E’ caldamente consigliabile dunque dotarsi di firewall, di una corretta gestione dei permessi d’accesso e provvedere infine alla criptazione dei dischi fissi.
La quadratura del cerchio la si avrebbe però solo aggiungendo una soluzione di Data Encryption. In questo modo si avrà una ragionevole certezza sulla salvaguardia dei dati aziendali a tutto tondo.
Mito #4: “Non mi serve, non ho mai subito un attacco e mai lo subirò”
Pensare di non aver nulla di importante da proteggere o, peggio ancora, credere di essere immuni a un attacco è il modo migliore per dare una mano al criminale informatico. Sempre nello studio di Ponemon si evidenzia come in Italia un’azienda su quattro abbia subito un Data Breach nel corso del 2018.
Il GDPR è molto chiaro su questo punto: non solo chi tratta dati sensibili ne è responsabile, chiunque abbia a che fare con dati personali è tenuto a proteggerli a norma di legge.
Il Garante della Privacy Francese nel giugno 2018 ha comminato una multa di 250.000€ all’azienda Optical Center per una gestione negligente sui dati dei propri clienti. Ribadiamo ennesimamente: le autorità sovrintendenti stanno andando a regime nell’applicazione della normativa, non è davvero il caso di farsi trovare impreparati.
Mito #5: “Una volta cifrati i dati, c’è il rischio di non poterli recuperare”
È fuor di dubbio che una gestione approssimativa della crittografia non potrà che portare a disastri (ne parliamo a breve, più sotto), ciò non significa che non esistano meccanismi di recupero pensati per i casi più disperati.
Nell’ipotesi in cui fosse impossibile accedere direttamente ai dati, ad esempio in caso di dimenticanza o perdita della chiave di cifratura, o ancora per via di un collega che cambia lavoro e nel passaggio di consegne omette un’informazione fondamentale… molte soluzione professionali prevedono un sistema di recupero dati o ‘Recovery Agent‘, attraverso la designazione di una o più persone dotate di accesso d’urgenza ai file cifrati. Un’altra metodologia diffusa è quella del ‘Key Escrow‘: si tratta di un database, esso stesso criptato, contenente tutte le chiavi di sicurezza dell’organizzazione.
Mito #6: “Serve solo alle grandi aziende”
Falso.
Solo perché si dà grande enfasi agli incidenti di sicurezza più eclatanti, ai danni di colossi multinazionali, non significa che la PMI non sia un target succulento per i malintenzionati. In realtà, il 43% degli attacchi viene perpetrato alla piccola e media impresa. Le protezioni sono più deboli e spesso nemmeno ci si accorge della violazione, se non quando ormai è troppo tardi.
E’, letteralmente, pesca a strascico applicata all'(in)sicurezza informatica.
Mito #7: “Rallenta i sistemi”
Computer Desktop e Portatili, ma anche Smartphone e Tablet sono ormai sufficientemente potenti per supportare la cifratura dei dati, senza il minimo segno di cedimento prestazionale.
Il progresso tecnologico e la standardizzazione degli ultimi anni sono stati determinanti: i moderni processori integrano la tecnologia AES NI, concepita per velocizzare enormemente i tempi di criptazione e decriptazione dei dati, così che sia totalmente trasparente all’utenza.
Mito #8: “La Crittografia è inviolabile”
Non lo è.
Quindi?! Quest’ultimo punto sembrerebbe remar contro la finalità del presente articolo. Non esattamente, ma è certamente necessaria una chiosa.
Leggere all’interno di un codice cifrato è pressoché impossibile, esattamente come eseguirne una decrittazione a mezzo di Brute Force Attack. Ma questa è solo metà della medaglia; l’altra -guarda caso- è proprio quella che abbiam trattato un paio di settimane fa, croce e delizia, irrinunciabile: la componente umana.
La malagestione delle chiavi, magari salvate tutte in un unico punto o, peggio ancora, nel cloud pubblico… il passo per il disastro è sistematicamente e dannatamente breve. A forza di ripeterci, l’unica contromisura è sapere con che cosa si sta trattando, essere formati e informati sulle nuove evoluzioni della tecnologia e, quindi, anche dei suoi lati oscuri.
Fonti: Stormshield, SSLRenewals