E’ ormai da tempo che la tecnologia ha imboccato una strada tutta rivolta alla semplificazione delle operazioni che l’utente deve compiere, favorendone intuibilità ed immediatezza.
Ma siamo veramente convinti che queste caratteristiche che la contraddistinguono sempre più siano correttamente bilanciate con le esigenze di sicurezza che ne derivano, quando di mezzo ci sono delle informazioni?
Ne consegue un ulteriore dilemma.
Qual è la chiave giusta per far comprendere all’utilizzatore che si è dotato di un mezzo per viaggiare ad una velocità folle che non è poi così prudente che lo sfrutti nel pieno delle sue potenzialità, o per lo meno che si prenda un attimo di tempo prima di compiere certe manovre?
Cerchiamo di mettere maggiormente a fuoco la questione, concentrandoci sulle chiavette USB. Hanno rappresentato una rivoluzione, e tuttora ricoprono un’importante porzione tra gli strumenti utilizzati, per le modalità di scambio di contenuti digitali. Si collegano, sono riconosciute in pochi secondi ed il gioco è fatto: file che vanno e che vengono con una rapidità impressionante.
E come si spiega agli utilizzatori che dietro una soluzione tanto comoda si cela un potenziale pandemico o quanto meno un vettore virulento non certo trascurabile?
Non a caso nell’ambito delle normative ISO 27001 / 27002 che riguardano la sicurezza delle informazioni è chiaramente stabilito che devono essere sviluppate procedure per il trattamento dei supporti rimuovibili.
Allora nella maggior parte dei casi, le aziende che decidono di prendere in carico la questione, affidano l’intera faccenda all’opzione del controller di dominio, che abilita o disabilita, a seconda dei profili utente, le funzioni connesse alle porte USB. Insomma spostano il carico sulla buona fede o sull’abilità (in alcuni casi ben lontana dal concetto di consapevolezza) delle persone.
Ma a smentire l’efficacia di questa linea di condotta, generica e approssimativa, sono proprio le minacce correlabili al vettore delle chiavette USB.
In primo luogo, rammentiamo che le recenti statistiche sulle frodi informatiche rilevano un trend crescente (che si approssima al 60%) di attacchi veicolati da personale interno all’azienda, per lo più dotati di profili con un elevato livello di autonomia; quindi il presupposto della buona fede risulta abbondantemente inficiato; inutilizzabile.
In secondo luogo, sarebbe interessante comprendere, fra coloro che effettivamente operano in buona fede, quanti hanno ricevuto oppure mettono in pratica opportuni controlli dettagliati.
Il volume viene accuratamente scansionato con un antivirus? E qualora l’antivirus rilevasse delle anomalie, quanti dispongono di un’area di quarantena appropriata per lanciare il file e vedere se si tratta di un falso allarme oppure di file potenzialmente dannosi?
Una menzione specifica, a questo proposito, la meritano i comuni file da ufficio (testi e fogli di calcolo) che contengono funzioni macro. Quanti degli effettivi destinatari / utilizzatori di questi file hanno le conoscenze adeguate, e sono disposti a perdere tempo, per cimentarsi in attività di code review prima di copiare il file nei sistemi dell’azienda oppure, per abbreviare i tempi, lanciarlo al momento?
Una volta aperto il file e attivate le macro senza pensarci, ammirano con stupore le automazioni senza riflettere sui potenziali danni (nel momento invisibili) e ringraziano di cuore.
In terza istanza, tralasciando per un momento le questioni di Trojan, Crypto Locker, ed eseguibili vari che potrebbero succhiar via dati sensibili senza che nessuno se ne renda conto, bisogna ricordare che qualsiasi questione di sicurezza non ha impatto solo sull’aspetto della riservatezza: persone non autorizzate vengono a conoscenza di informazioni riservate.
Incide irrimediabilmente anche sull’aspetto della disponibilità e della continuità operativa: l’informazione richiesta è disponibile?
Se non lo è, dopo quanto tempo l’indisponibilità arreca un danno (economicamente) insopportabile per l’organizzazione?
Bisogna rifletterci, perché quando si parla genericamente di chiavi USB, è opportuno sapere che esistono anche le così dette killer, ormai facilmente acquistabili su internet per poche decine di euro. Una volta connesse creano un sovraccarico di tensione: in pochi secondi la scheda madre è fritta. E se quel terminale risultasse di colpo indisponibile, e con esso le informazioni che conteneva, quali sono le conseguenze? Lo potrebbe rilevare esplicitamente una BIA, ammesso che ce ne sia una.
A pensarci bene vien voglia di scollegare le porte USB dalla scheda madre e non pensarci più. Oppure di chiudere gli occhi sperando che tutto vada sempre bene. Potrebbe essere facile pensare “perché dovrebbe toccare proprio a me?”.
Ma quando poi succede, diventa un rimpianto difficile da sopportare. Più costruttivo potrebbe risultare lo sforzo, come sempre rammentiamo in questa rubrica, di riflettere, di attivare il pensiero – tra l’altro è un’attività che di per sé non genera costi – e provare a declinare con un po’ d’accuratezza, un aspetto che la comunità internazionale in qualche modo già ha definito; senza però ogni volta provare a riscoprire l’acqua calda: l’attività preferita di molti consulenti che avrebbero l’importante compito di tradurre le norme in buone pratiche e che invece, guarda caso, si concentrano tanto di più sulla rendicontazione e sulla fatturazione.
