La crittografia offre agli amministratori IT uno strumento efficace per proteggere le informazioni aziendali senza imporre restrizioni sull’utilizzo dei dispositivi, ma preservando la libertà e la riservatezza degli utenti.
La digitalizzazione ha rivoluzionato l’esperienza personale e le dinamiche organizzative, mettendo al centro il software e l’informazione come motori socioeconomici. La protezione del dato si rivela un fattore critico per il successo aziendale, soprattutto alla luce di un panorama cyber-crime in continua e preoccupante evoluzione.
La diffusione del cloud computing, dei dispositivi mobili e dell’Internet Of Things sta aprendo gli ecosistemi informativi oltre il datacenter aziendale: il perimetro di sicurezza diventa liquido e si moltiplicano i potenziali punti di attacco.
A complicare il quadro della security informatica, si aggiungono la necessità di compliance normativa e in particolare l’adesione al Gdpr (General Data Protection Regulation) europeo. Secondo la recente legislazione, infatti, ogni singola organizzazione ha la responsabilità di implementare misure di sicurezza adeguate in base al livello di rischio.
In questo contesto dai contorni flessibili e difficile da governare, i firewall tradizionali si rivelano inefficaci. La sicurezza pertanto deve essere connaturata al dato stesso, indipendentemente dalla sua posizione (archiviato all’interno dei dispositivi oppure in transito da una risorsa all’altra attraverso Internet o una rete privata).
Cos’è la crittografia e come funziona
La crittografia (dal greco kryptós, “nascosto”, e graphía, “scrittura”) informatica è un insieme di tecniche che permette di proteggere l’informazione intrinsecamente, impedendo l’intelligibilità a soggetti non autorizzati. Un sistema crittografico infatti si basa su un algoritmo matematico (denominato “cifrario”) che permette di alterare la sequenza di alcuni caratteri attraverso una chiave segreta. La chiave è il parametro che consente di cifrare e decifrare il dato, preservandone la confidenzialità (l’informazione risulta pertanto leggibile soltanto a mittente e destinatario).
Esistono principalmente due tipi di crittografia: simmetrica, quando mittente e destinatario condividono la stessa chiave; asimmetrica, quando la chiave di cifratura è pubblica e diversa dalla chiave di decryption che invece è privata.
Esiste poi un più recente sistema di crittografia, la crittografia quantistica, che ha il merito di essere considerata, ad oggi, l’unico sistema di cifratura realmente inviolabile.
Algoritmi di cifratura simmetrici
Esemplificando, nella crittografia simmetrica il mittente utilizza la chiave (di lunghezza compresa tra 32 e 512bit) per occultare un testo in chiaro attraverso l’algoritmo di cifratura; il destinatario riceve il testo cifrato e disponendo della stessa chiave (condivisa in modo sicuro) può decrittarlo con apposito algoritmo. Se l’attaccante intercetta l’informazione durante la trasmissione da mittente a destinatario, non sarà in grado di leggere il contenuto se non attraverso sofisticate tecniche di decrittazione che però richiedono elevata potenza computazionale.
Esistono diversi tipi di algoritmi simmetrici, con particolari caratteristiche di sicurezza ed encryption. I cifrari a blocchi criptano in parallelo stringhe di bit invece che singoli elementi come avviene per gli algoritmi a flusso. La stessa operazione di cifratura può essere iterata all’interno di un blocco per un certo numero di cicli o round (da 4 a 64), complicando l’eventuale decrittazione forzata da parte dell’attaccante.
Nel corso degli anni, la ricerca ha portato alla luce algoritmi simmetrici di particolare efficacia. Tra i più popolari, Rijndael (a blocchi, con chiave da 128, 192 o 256 bit) si è affermato come standard pubblico nel 2001 sotto il nome di Aes (Advanced Encryption Standard) e dal 2003 viene utilizzato dalla National Security Agency statunitense per criptare i documenti governativi secretati.
La rivoluzione della crittografia asimmetrica
Si evince che la principale criticità degli algoritmi simmetrici è la necessità di condividere la chiave tra mittente e destinatario a monte del processo di crittografia, complicando le attività di gestione delle chiavi.
In questo senso, l’innovazione crittografica ha subito una svolta con l’ingresso della tecnica asimmetrica, che utilizza chiavi diverse (pubbliche e private) per cifrare e decifrare un messaggio, evitando così lo scambio delle chiavi tra mittente e destinatario.
Il meccanismo è più complesso rispetto alla crittografia simmetrica, ma più sicuro. Il destinatario invia al mittente una chiave pubblica, visibile a tutti. Il mittente cripta attraverso la chiave pubblica il messaggio e procede all’invio verso il destinatario, che potrà effettuare la decrittazione soltanto attraverso la chiave privata (ovvero di suo esclusivo possesso), archiviata in modo sicuro e mai condivisa o trasmessa ad altri.
Il primo sistema asimmetrico risale al 1977 quando un gruppo di ricerca del Mit (Massachusetts Institute of Technology) realizza l’algoritmo Rsa.
Lo svantaggio della crittografia a chiave pubblica è la lentezza, quindi la scarsa efficacia in applicazioni che prevedono lo scambio di grandi volumi di dati. Spesso si preferisce cifrare simmetricamente i messaggi, utilizzando gli algoritmi asimmetrici per criptare e decriptare esclusivamente la chiave che può essere quindi inviata dal mittente al destinatario in modo sicuro.
Algoritmi perfetti grazie alla meccanica quantistica
La crittoanalisi rappresenta l’approccio inverso alla crittografia ovvero il tentativo di rompere i meccanismi di cifratura da parte degli attaccanti. Attualmente non esistono algoritmi crittografici considerati inviolabili, tuttavia il lungo tempo necessario alla crittoanalisi permette di ritenere i messaggi cifrati sufficientemente sicuri a seconda del tipo di applicazione.
L’unica tecnica definita “perfetta” ovvero infallibile è il Cifrario di Vernam, che protegge lo scambio della chiave ricorrendo alla meccanica quantistica. In questo caso, la chiave deve essere segreta, casuale, lunga quanto il messaggio e utilizzabile una sola volta. Il sistema permette di scongiurare attacchi di tipo man in the middle, quando la chiave viene intercettata durante lo scambio ma risulta comunque inutilizzabile. Inoltre, mittente e destinatario si accorgono del tentativo di violazione.
La crittografia per proteggere i device mobili aziendali
La crittografia informatica trova diversi ambiti di applicazione: ad esempio, per proteggere la confidenzialità dei dati all’interno dei dispositivi di archiviazione; nelle procedure di login per cifrare la password; nelle comunicazioni Wi-Fi e cellulari con chiavi del tipo Wep e Wpa; in Internet con l’utilizzo dei protocolli Ssh, Ssl/Tsl, Https e IPsec per oscurare i dati in transito tra client e server.
Nell’ambito dei dispositivi mobili, gli algoritmi di cifratura permettono di scambiare e memorizzare i dati in un formato leggibile soltanto quando il telefono o il tablet viene sbloccato. La decrittazione quindi è possibile esclusivamente dopo avere inserito la chiave conosciuta dall’utente nella schermata di blocco. Si tratta tipicamente di un Pin a quattro cifre, di una password alfanumerica più lunga, di un tracciato grafico oppure di un’impronta digitale o altra tecnica di riconoscimento biometrico.
Chiaramente la crittografia funge da barriera protettiva in caso di furto o smarrimento del dispositivo: senza la possibilità di accesso al device tramite la chiave, le informazioni rimangono oscurate e non sono intellegibili.
L’importanza della crittografia in contesti Byod
La cifratura è una tecnica fondamentale per proteggere i dati aziendali che transitano e risiedono sui dispositivi mobile di manager e dipendenti, soprattutto nei moderni contesti dominati dalla pratica del Bring Your Own Device (Byod).
Sempre più spesso infatti gli utenti impiegano i device forniti dall’azienda per utilizzi privati (memorizzazione file personali, uso di applicazioni consumer e così via) e fuori dal controllo dell’amministazione It. Tuttavia accade anche che le organizzazioni autorizzino e addirittura incoraggino l’uso dei dispositivi personali per le attività professionali. I vantaggi infatti sono bilaterali: l’impresa risparmia sui costi di acquisto e manutenzione, mentre i dipendenti hanno la libertà di scegliere con quali strumenti lavorare.
Ecco perché diventa fondamentale garantire la sicurezza delle informazioni dell’azienda senza tuttavia ledere la privacy del dipendente. Esistono sistemi di gestione che permettono di memorizzare i dati relativi alla sfera privata e all’attività professionale del dipendente all’interno di appositi contenitori separati e criptati. L’amministratore IT può quindi gestire gli spazi di archiviazione in modalità remota, accedendo esclusivamente ai dati di pertinenza senza violare la riservatezza delle informazioni personali (fotografie, messaggi in chat e così via).
I vantaggi della crittografia mobile per manager e dipendenti
L’utilizzo della crittografia per la sicurezza dei dispositivi mobile aziendali o a utilizzo professionale / privato è una pratica doverosa da parte delle organizzazioni, anche per non contravvenire alle normative comunitarie e internazionali.
Tuttavia, non sempre manager e dipendenti sono consapevoli dei rischi o adeguatamente formati sui temi della cyber-security. Ad esempio, le procedure di sblocco dei dispositivi molte volte sono viste come una forzatura e un rallentamento dell’attività lavorativa.
In realtà, la crittografia imposta dagli amministratori It dovrebbe essere vista come un’opportunità per avere sotto controllo il patrimonio informativo non solo dell’azienda, ma anche personale. Email, documenti, conversazioni, immagini e video che vengono archiviati e scambiati nella sfera privata possono essere ugualmente protetti senza sforzo o azioni aggiuntive da parte dell’utente, nel contesto di una più ampia strategia aziendale che punta alla riduzione dei rischi in materia di furto, perdita e compromissione dei dati. Seguire le best practice di sicurezza significa quindi non solo contribuire alla salute dei sistemi It e all’integrità delle informazioni aziendali, ma anche favorire la tutela del proprio patrimonio informativo.