Privacy: Computer
Security, Past and Future
Michael Neuman - Diana Moore
ACM Student Magazine 1996 (D.L.)
Ripreso dall'Osservatorio
Editoriale sui Sistemi Informativi
Ci siamo avvicinati
maggiormente ad una situazione che garantisca la completa sicurezza
delle reti e dei sistemi informativi?
Sfortunatamente la risposta
sembra essere negativa.
I pericoli per la sicurezza
dei sistemi informatici crescono in misura direttamente proporzionale
alla crescita di Internet.
Uno studio sulla criminalità
informatica condotto dalla Michigan State University nel 1995 dimostra
che più del 93,6% delle società osservate riporta almeno un incidente
significativo connesso alla sicurezza del proprio sistema informativo,
mentre il 43,3% del campione ha subito attentati alla sicurezza del
sistema in più di 25 occasioni.
Sono trascorsi 20 anni da
quando Bell e La Padula - autori del "Secure Computer System: Unified
Exposition and Multics lnterpretation" - hanno presentato un modello che
forniva le basi per avvicinarsi ad una situazione di totale sicurezza
dei sistemi di trattamento automatico delle informazioni.
Nove anni dopo, nel 1985, le
specifiche di base per mettere a punto un sistema informatico "sicuro",
basate sul modello Bell-La Padula, furono pubblicate dal Dipartimento
della Difesa degli Stati Uniti nell'Orange Book (così chiamato in
relazione al colore della copertina del volume che lo contiene).
L'orange Book, ovvero i
Trusted Computer Systems Evaluation Criteria, è una raccolta di criteri
di valutazione della sicurezza informatica principalmente orientata alla
valutazione dei sistemi operativi multiutente. In estrema sintesi
questa raccolta definisce sette classi di sistemi, elencate secondo un
ordine crescente di sicurezza. L'assegnazione di un sistema ad una delle
sette classi suddette avviene sulla base:
1. della politica di sicurezza adottata dal
sistema (cosiddetta security criteria);
2. della capacità del sistema di tenere
traccia delle attività delle varie entità (cosiddetta accountability);
3. della fiducia che può essere riposta nel
livello di sicurezza fornito dal sistema (cosiddetta assurance).
Due anni più tardi fu approvata la legge sulla
Sicurezza Informatica (Computer Security Act 1987).
Fatta questa premessa di tipo storico M.
Neuman e D. Moore si chiedono che cosa sia stato aggiunto alla sicurezza
complessiva dei sistemi dagli ultimi 20 anni di ricerca e 9 anni di
adeguamento della normativa.
Certamente si sono avuti numerosi e
significativi progressi tecnici, soprattutto nelle aree più critiche:
autenticazione, sistemi di rilevazione di accessi non autorizzati e
secure voting.
Ma ci siamo avvicinati maggiormente ad una
situazione che garantisca la completa sicurezza delle reti e dei sistemi
informativi?
Sfortunatamente la risposta sembra essere
negativa.
I pericoli per la sicurezza dei sistemi
informatici crescono in misura direttamente proporzionale alla crescita
di Internet. Uno studio sulla criminalità informatica condotto dalla
Michigan State University nel 1995 dimostra che più del 93,6% delle
società osservate riporta almeno un incidente significativo connesso
alla sicurezza del proprio sistema informativo, mentre il 43,3% del
campione ha subito attentati alla sicurezza del sistema in più di 25
occasioni.
In effetti molte tecnologie oggi disponibili,
quali Firewalls, sistemi di rilevazione di accessi non autorizzati,
network security scanner etc., possono e devono essere adottate per
migliorare la difesa del sistema. Tuttavia questi tools rendono il
lavoro dell'hacker semplicemente più lento e non necessariamente più
difficile, il che non rappresenta un deterrente per i potenziali
intrusi.
Dunque gli strumenti di difesa da attacchi
esterni ed interni devono essere sviluppati per consentire di
individuare potenziali attacchi, determinare l'estensione del danno
provocato, identificare ogni tipo di strumento utilizzato dall'hacker e,
soprattutto, seguire le tracce dell'intruso fino alla fonte e
consentirne l'identificazione. Con l'attuale paradigma di sicurezza,
puramente difensivo, i "pirati informatici" non corrono alcun rischio di
esser presi.
Lo studio condotto dalla Michigan State
University sui crimini informatici (1995) ha dimostrato che i pochi casi
di successo in cui un hacker è stato preso sono legati ad una
combinazione di fortuna, tempismo, eccessiva arroganza dell'intruso e
rara abilità tecnica delle autorità specializzate in crimini
informatici.
L'opinione espressa con preoccupazione dagli
autori è che, non esistendo un efficace deterrente per la criminalità
informatica, la situazione non farà altro che peggiorare.
Oggi, con l'internet commerce e
l'interconnessione mondiale il problema della sicurezza informatica è
ancora più grave rispetto al passato. E' molto probabile che tra 5-10
anni sarà molto più diffuso fare affari su Internet e che le aziende
saranno così interconnesse che le risorse critiche saranno presenti on
line.
Dunque cosa bisogna fare in futuro?
Certamente bisogna continuare a perfezionare i
tool "difensivi", ma anche sviluppare quelli "offensivi" per la
sicurezza e la difesa dei sistemi informativi.
In secondo luogo è indispensabile un
adeguamento della normativa in materia di crimini informatici, nonché la
creazione di corpi speciali tra le forze dell'ordine in grado di
catturare e perseguire penalmente gli hacker.
Infine, altra azione
importante da compiere è educare l'intera comunità virtuale, cioè tutte
le persone che utilizzano Internet, alla cultura della sicurezza, sia di
livello aziendale sia personale (dati e sistemi gestiti
individualmente). Ogni individuo in azienda, dal semplice "navigatore"
al programmatore esperto, deve comprendere cosa può significare per
l'azienda l'esposizione alla perdita o alla manomissione dei dati
aziendali, in quanto si tratta di una risorsa pregiata e comune.
Nell'ambito dei Trusted
Computer Systems Criteria il problema della "riservatezza" è visto come
primario rispetto a quello della "integrità" e della "disponibilità"
secondo un approccio adottato tipicamente in campo militare. L'approccio
adottato successivamente (1990) dalla Comunità Europea nella valutazione
della sicurezza dei sistemi di trattamento automatico dell'informazione,
si discosta da quello dell'Orange Book. Il metodo individuato dalla
cultura informatica europea per molti aspetti è più flessibile ed
adattabile alla valutazione di sistemi con funzionalità non previste al
momento della creazione dei criteri stessi.
RITORNA ALLA
SEZIONE ATTUALITA' AZIENDE E
PUBBLICHE
AMMINISTRAZIONE
|