Privacy Computer Security

Uno studio sulla criminalità informatica condotto dalla Michigan State University nel 1995 dimostra che più del 93,6% delle società osservate riporta almeno un incidente significativo connesso alla sicurezza del proprio sistema informativo, mentre il 43,3% del campione ha subito attentati alla sicurezza del sistema in più di 25 occasioni.

Sono trascorsi 20 anni da quando Bell e La Padula - autori del "Secure Computer System: Unified Exposition and Multics lnterpretation" - hanno presentato un modello che forniva le basi per avvicinarsi ad una situazione di totale sicurezza dei sistemi di trattamento automatico delle informazioni.

Nove anni dopo, nel 1985, le specifiche di base per mettere a punto un sistema informatico "sicuro", basate sul modello Bell-La Padula, furono pubblicate dal Dipartimento della Difesa degli Stati Uniti nell'Orange Book (così chiamato in relazione al colore della copertina del volume che lo contiene).

L'orange Book, ovvero i Trusted Computer Systems Evaluation Criteria, è una raccolta di criteri di valutazione della sicurezza informatica principalmente orientata alla valutazione dei sistemi operativi multiutente. In estrema sintesi questa raccolta definisce sette classi di sistemi, elencate secondo un ordine crescente di sicurezza. L'assegnazione di un sistema ad una delle sette classi suddette avviene sulla base:

1. della politica di sicurezza adottata dal sistema (cosiddetta security criteria);

2. della capacità del sistema di tenere traccia delle attività delle varie entità (cosiddetta accountability);

3. della fiducia che può essere riposta nel livello di sicurezza fornito dal sistema (cosiddetta assurance).

Due anni più tardi fu approvata la legge sulla Sicurezza Informatica (Computer Security Act 1987).

Fatta questa premessa di tipo storico M. Neuman e D. Moore si chiedono che cosa sia stato aggiunto alla sicurezza complessiva dei sistemi dagli ultimi 20 anni di ricerca e 9 anni di adeguamento della normativa.

Certamente si sono avuti numerosi e significativi progressi tecnici, soprattutto nelle aree più critiche: autenticazione, sistemi di rilevazione di accessi non autorizzati e secure voting.

Ma ci siamo avvicinati maggiormente ad una situazione che garantisca la completa sicurezza delle reti e dei sistemi informativi?

Sfortunatamente la risposta sembra essere negativa.

I pericoli per la sicurezza dei sistemi informatici crescono in misura direttamente proporzionale alla crescita di Internet. Uno studio sulla criminalità informatica condotto dalla Michigan State University nel 1995 dimostra che più del 93,6% delle società osservate riporta almeno un incidente significativo connesso alla sicurezza del proprio sistema informativo, mentre il 43,3% del campione ha subito attentati alla sicurezza del sistema in più di 25 occasioni.

In effetti molte tecnologie oggi disponibili, quali Firewalls, sistemi di rilevazione di accessi non autorizzati, network security scanner etc., possono e devono essere adottate per migliorare la difesa del sistema. Tuttavia questi tools rendono il lavoro dell'hacker semplicemente più lento e non necessariamente più difficile, il che non rappresenta un deterrente per i potenziali intrusi.

Dunque gli strumenti di difesa da attacchi esterni ed interni devono essere sviluppati per consentire di individuare potenziali attacchi, determinare l'estensione del danno provocato, identificare ogni tipo di strumento utilizzato dall'hacker e, soprattutto, seguire le tracce dell'intruso fino alla fonte e consentirne l'identificazione. Con l'attuale paradigma di sicurezza, puramente difensivo, i "pirati informatici" non corrono alcun rischio di esser presi.

Lo studio condotto dalla Michigan State University sui crimini informatici (1995) ha dimostrato che i pochi casi di successo in cui un hacker è stato preso sono legati ad una combinazione di fortuna, tempismo, eccessiva arroganza dell'intruso e rara abilità tecnica delle autorità specializzate in crimini informatici.

L'opinione espressa con preoccupazione dagli autori è che, non esistendo un efficace deterrente per la criminalità informatica, la situazione non farà altro che peggiorare.

Oggi, con l'internet commerce e l'interconnessione mondiale il problema della sicurezza informatica è ancora più grave rispetto al passato. E' molto probabile che tra 5-10 anni sarà molto più diffuso fare affari su Internet e che le aziende saranno così interconnesse che le risorse critiche saranno presenti on line.

Dunque cosa bisogna fare in futuro?

Certamente bisogna continuare a perfezionare i tool "difensivi", ma anche sviluppare quelli "offensivi" per la sicurezza e la difesa dei sistemi informativi.

In secondo luogo è indispensabile un adeguamento della normativa in materia di crimini informatici, nonché la creazione di corpi speciali tra le forze dell'ordine in grado di catturare e perseguire penalmente gli hacker.

Infine, altra azione importante da compiere è educare l'intera comunità virtuale, cioè tutte le persone che utilizzano Internet, alla cultura della sicurezza, sia di livello aziendale sia personale (dati e sistemi gestiti individualmente). Ogni individuo in azienda, dal semplice "navigatore" al programmatore esperto, deve comprendere cosa può significare per l'azienda l'esposizione alla perdita o alla manomissione dei dati aziendali, in quanto si tratta di una risorsa pregiata e comune.

Nell'ambito dei Trusted Computer Systems Criteria il problema della "riservatezza" è visto come primario rispetto a quello della "integrità" e della "disponibilità" secondo un approccio adottato tipicamente in campo militare. L'approccio adottato successivamente (1990) dalla Comunità Europea nella valutazione della sicurezza dei sistemi di trattamento automatico dell'informazione, si discosta da quello dell'Orange Book. Il metodo individuato dalla cultura informatica europea per molti aspetti è più flessibile ed adattabile alla valutazione di sistemi con funzionalità non previste al momento della creazione dei criteri stessi.

RITORNA ALLA SEZIONE ATTUALITA' AZIENDE E PUBBLICHE

AMMINISTRAZIONE