software gestionale

Cyber, a rischio attacco se collegati a reti wi-fi pubbliche

L’esperto: “L’attaccante potrebbe essere la persona seduta accanto che sta bevendo la sua tisana”

Una delle più diffuse minacce della sicurezza informatica è il cosidetto  attacco “man in the middle (spesso abbreviato in MITM, MIM, MIM attack o MITMA, in italiano “uomo nel mezzo”) consistente in un attacco informatico attraverso una interposizione dell’uomo in mezzo, protesa ad intercettare o alterare la comunicazione tra due parti inconsapevoli. Molto frequente è l’attacco attraverso la rete wi-fi, specie quelle pubbliche. Altrettanto invasivo è l’attacco a reti wi-fi domestiche, molto spesso attraverso vulnerabilità del router (banalmente password di default). L’eterogeneità delle connessioni fra devices rende l’attacco particolarmente diffuso anche tra i dispositivi mobili al fine di intercettarne (sniffare) tutto il traffico sms alla ricerca per esempio di codici di autenticazione. Altrettanto diffuso con la stessa tecnica è il malware trojan, che si interpone tra un utente ed il browser per alterare fraudolentemente ad esempio le transazioni finanziarie online.

Ne parliamo con Giorgio Perego, responsabile dei progetti ICT locali per le tre divisioni di vendita della multinazionale tedesca B. Braun 

Può spiegare ai nostri lettori la natura e tipologia di attacco e quali sono le misure di mitigazione suggerite?

“Questo tipo di attacco avviene all’intero di una rete, wireless o wlan. La procedura di attacco prevede che il malintenzionato si metta in mezzo tra due utenti e il router (man in the middle) alterando segretamente le comunicazioni tra due parti che credono di comunicare direttamente tra di loro. La gente sottovaluta i pericoli di una rete controllata da qualcun altro, soprattutto se parliamo di reti come quelle dei fast food, co-working aeroporti, hotel, dove l’attaccante potrebbe essere la persona seduta accanto a te che sta bevendo la sua tisana. E’ sempre bene controllare le impostazioni del client di posta del proprio telefono o tablet. Su diversi dispositivi il client email non ha abilitato il TLS di default. Questo significa che le credenziali di accesso ai server SMTP e IMAP vengono inviate in chiaro sulla rete. Collegandoci a quanto detto prima, qualsiasi “malintenzionato” sulla rete può carpire tali credenziali ed usarle per i suoi scopi. Questi tipi di tools sono facilmente reperibili dal web. Inoltre, utilizzando Kali (una distro di Linux), alcuni tools sono già preinstallati. E’ comunque buona prassi tenere aggiornato il proprio sistema operativo e verificare sempre l’url del vostro browser. E’ sempre consigliabile: – non usare punti d’accesso wi-fi non cifrati, oppure liberi, per effettuare transazioni sensibili; – di curarsi dell’aggiornamento dell’antivirus e del sistema operativo; – modificare la password del router wi-fi domestico  utilizzando una password personalizzata forte; – controllare che l’URL dei siti web a cui ci si connette inizi con HTTPS (connessione cifrata)”.

La valutazione del rischio

Il risk assessment nella valutazione del rischio per la sicurezza informatica nell’ambito di una policy di information security governance, è un processo di identificazione, analisi e valutazione dei rischi e dei potenziali impatti, preordinato per mettere in campo controlli di sicurezza informatica che risultino adeguati agli obiettivi di business dell’organizzazione ed entro la soglia di rischio residuo considerato accettabile dal senior management.

La valutazione del rischio è dunque una delle prime attività con cui è chiamato a misurarsi un information security manager al fine di individuare le minacce, la loro probabilità e frequenza e i potenziali impatti sull’organizzazione. La valutazione del rischio per la sicurezza informatica identifica e classifica le varie risorse informative (asset) che potrebbero essere esposte ad un attacco informatico (hardware, sistemi, devices, proprietà intellettuale, patrimonio informativo), ne individua il valore (anche di rimpiazzo) e identifica quindi i vari rischi che potrebbero influire su tali asset. La metodologia dell’assessment prevede una stima (asset classification) e una valutazione del rischio a cui segue una selezione delle misure di mitigazione messe in campo per trattare le minacce identificate.

È chiaro che le minacce sono in continua e progressiva evoluzione ed anche gli scenari di rischio mutano velocemente. É per questo che è importante monitorare e rivedere costantemente il landscape per rilevare eventuali cambiamenti nel contesto dell’organizzazione mantenendo una supervisione dell’intero sistema di gestione dei rischi, attraverso l’aggiornamento periodico del risk assessment.

Il risk assessment nell’ambito di una policy di information security governance ha pertanto l’obiettivo strategico di stabilire e mantenere determinati criteri di rischio per la sicurezza delle informazioni, garantendo all’organizzazione la confidenzialità, integrità e disponibilità delle informazioni nell’ambito del sistema di gestione della sicurezza delle informazioni. Il risk assessment, inoltre, è un processo molto complesso ed articolato che richiede una pianificazione meticolosa, conoscenze specialistiche ed il coinvolgimento di tutti i data e process owners per coprire adeguatamente tutti i rischi relativi a persone, processi e tecnologia.

Davide Maniscalco

Avvocato Cassazionista, con formazione giuridico-aziendale, ha consolidato la propria esperienza professionale prevalentemente nel settore dei carburanti e delle energie. Ha assunto ruoli di alta direzione in Gruppi societari del settore wholesale and retail trading, logistic, transport & management. Ha maturato una significativa esperienza in diritto commerciale e societario, nonché nella contrattualistica di impresa, occupandosi in azienda della gestione del capitale umano e delle relazioni sindacali. E’ Of Counsel dello Studio Viola di Palermo con cui collabora nell’ambito dell’innovativo BID Department per lo sviluppo del commercio internazionale delle imprese, negli uffici di rappresentanza di Milano e New York. Nel corso dell’esperienza professionale ha approfondito il rapporto tra diritto e tecnologie della società dell’informazione ed ha poi rivolto particolare attenzione alle materie della information security, acquisendo competenze trasversali in informatica giuridica, governance digitale, cybersecurity e business resilience. Certified functional continuity professional (CFCP) DRII e crisis manager. Referente territoriale e Docente della Geeks Academy, scuola di alta formazione specialistica e network della formazione in cybersecurity, digital forensics e data analysis. Professionista della Privacy iscritto negli elenchi dei professionisti dell’Associazione Anorc Professioni*, per la quale è Referente Territoriale. Professionista della Digitalizzazione documentale e della Privacy, con master di primo livello conseguito presso l’Università UniTelma Sapienza di Roma. Membro del Team D&L Net dello Studio Legale Lisi**, a cui aderisce come specialista della Privacy. Membro del consiglio direttivo dell’Associazione Confcommercio Professioni Palermo, che aderisce alla Confcommercio di Palermo. Business Coach e Licensed NLP Master Practitioner iscritto nell’elenco tenuto dall’Associazione Assocoaching I° livello Disaster Manager – Assodima ______________________ ____________________________ * ANORC Professioni è un’associazione professionale, indipendente e senza scopo di lucro, iscritta nell'elenco del MISE, che rappresenta i Professionisti della digitalizzazione e i Professionisti della privacy. **Il D&L Net è un Network professionale che in modo multidisciplinare vuole garantire ai Professionisti che aderiscono una crescita sia in termini di competenze, che di attività, nelle materie del diritto dell’informatica e della protezione dei dati personali. Per tali motivi i Professionisti accettano di riconoscersi in questo Network, di mettere a disposizione con spirito collaborativo e proattivo la propria professionalità e di impegnarsi a sviluppare la rete professionale secondo una serie di diritti e doveri condivisi nel Codice che accettano di osservare.

Articoli suggeriti