Nella vita di tutti i giorni, usiamo un sacco di dati. Alcuni sono dati sensibili, altri no ma, ma per garantire la sicurezza delle informazioni, è necessario che i dati siano crittografati.
Quando si condividono dei dati con un’altra persona, con un’organizzazione o con un’azienda, è importante non inviare le informazioni in chiaro perché un malintenzionato può in qualsiasi momento intercettare la comunicazione, prendere visione dei contenuti e modificare i dati in transito. Ecco perché gli esperti sottolineano come le imprese debbano gestire ogni giorno i loro dati, tenendo conto dei pericoli per la sicurezza e di come i rischi possano essere arginati utilizzando la crittografia.
I pericoli degli storage on line e off line
Esiste una molteplicità di rischi collegati al processo di archiviazione dei dati non criptati su differenti dispositivi così come esistono minacce alla sicurezza nell’uso di dati non criptati nel caso di alcuni servizi. Ecco un elenco dei punti di vulnerabilità e di come correre ai ripari per innalzare i livelli di protezione.
1) Unità USB: le chiavette sono indubbiamente uno dei sistemi più semplici per trasferire dati da un computer all’altro. Se il drive USB viene perso e ritrovato o rubato da un malintenzionato, i dati non hanno alcun tipo di protezione. Allo stesso modo di quanto avviene con un trasferimento dei file su una rete, anche i dati memorizzati su una chiavetta USB dovrebbero essere adeguatamente criptati, utilizzando protocolli come l’HTTPS o l’SSH.
2) I dischi rigidi: i dati memorizzati su un disco rigido, se questo viene rubato, diventano immediatamente accessibili per il malintenzionato che ne è entrato in possesso. Di solito i dischi rigidi dei pc nelle aziende sono al sicuro, in quanto normalmente gli uffici sono luoghi sorvegliati o comunque protetti. I rischi, però, crescono sensibilmente nel caso dei computer portatili. Una volta persi o rubati, infatti, tutti i dati presenti sul disco rigido del dispositivo mobile diventano facilmente accessibili: al ladro basta collegarsi al disco rigido per procedere tranquillamente all’apertura di qualsiasi file. Il fatto che il sistema – sia esso Linux, Windows o altro – sia protetto da password non è di per sé sufficiente a bloccare l’accesso ai dati, in quanto il livello di protezione di una password può essere facilmente aggirato dalla cybercriminalità.
3) Sincronizzazione dei file in cloud: sulla nuvola la sincronizzazione viene usata utilizzato per eseguire il backup dei file su un disco rigido nel caso in cui questo non funzioni o nel caso in cui un utente voglia avere accessibilità ai file ovunque ci sia una connessione a Internet. Tra i servizi di sincronizzazione di cloud più diffusi ci sono Google Drive, Dropbox, SugarSync e Amazon Cloud Drive. A seconda della tipologia di servizio, i file che vengono memorizzati nel cloud per la sincronizzazione potrebbero non essere crittografati. In questi casi, l’aggressore potrebbe essere in grado di rubare i dati dal servizio cloud, dal momento che per accedere gli basta una qualsiasi connessione al Web.
4) Database SQL in cloud: diverse applicazioni cloud utilizzano per l’archiviazione dei database SQL come sistema di back end. Di solito i dati memorizzati in un database SQL non sono crittografati anche se comprende informazioni sensibili per l’applicazione come, ad esempio, nomi utente e password. Ci sono molti fornitori diversi che offrono database SQL remoti che possono essere utilizzati dalle applicazioni per salvare e per caricare i dati. Dal momento che i dati memorizzati non sono crittografati, però, il rischio è che un utente malintenzionato acceda al database e rubi direttamente i dati.
5) Telefoni cellulari: la telefonia mobile è diventata una necessità quotidiana per le persone, ovunque vadano. I telefoni sono sempre accesi e utilizzati per compiti diversi, come leggere le email, accedere ai dati di lavoro, scattare foto e video, ma molti non sanno che i dati contenuti nei loro telefoni non sono crittografati e quindi i dispositivi sono ad alta vulnerabilità. La maggior parte di queste informazioni, per altro, sono dati estremamente sensibili. Inutile sottolineare i rischi se il dispositivo cade nelle mani sbagliate.
Protezione e memorizzazione dei dati online e offline
Indipendentemente dai dispositivi o dai servizi, i dati devono essere adeguatamente crittografati e questo in misura ancora maggiore se si trovano in cloud (sempre più utilizzato dagli utenti in moblità). L’ubiquità della nuvola, infatti, amplia l’area di accesso agli utenti, ma anche ai cybercriminali. Ci sono alcuni passaggi necessari aziende possono adottare per proteggere i dati sui dispositivi e servizi, tra cui:
1) Unità USB: ci sono diversi programmi disponibili per crittografare le unità USB come, ad esempio, DiskCryptor, VeraCrypt e BoxCryptor. L’offerta e ampia ma bisogna saper scegliere: programmi come TrueCrypt, il cui sviluppo è stato interrotto e non è più supportato attivamente, non sono sciuri ed è meglio non prenderli in considerazione.
2) I dischi rigidi: per i sistemi Linux, le aziende possono utilizzare dm-crypt LUKS mentre per i sistemi Windows è possibile utilizzare BitLocker per crittografare interi hard disk, che si tratti di un pc o di un computer portatile.
3) Sincronizzazione dei file in cloud: è importante che le imprese si assicurino di avere un servizio che garantisce anche il supporto della crittografia in automatico (ovvero senza che l’utente debba necessariamente conoscere i meccanismi di crittografia) e che i dati caricati nel cloud siano dunque tutti crittografati. Le imprese non dovrebbero usare soluzioni aperte come, ad esempio, Dropbox ma dovrebbero invece passare a un’alternativa sincronizzazione cifrata come SpiderOak, Wuala, Tresorit e simili.
4) Database SQL in cloud: per un’archiviazione sicura nel cloud, le organizzazioni possono utilizzare ClearDB, ZerodB e così via.
5) Telefoni cellulari: i cellulari Android già supportano la crittografia (che può essere abilitata nelle impostazioni). È necessaria una password per crittografare l’intero disco, e deve essere fornito ogni volta che l’utente accede al sistema. Le imprese non possono basare la loro sicurezza esclusivamente affidandosi al PIN dal momento che questo è facilmente bypassabile.
Riassumendo, c’è sempre una possibilità che i dati memorizzati nella nuvola possano essere rubati da un malintenzionato. Questo è il motivo per cui è così importante assicurarsi che le informazioni archiviate nel cloud siano crittografate. Questo impedirà al cybercriminale di avere chiaro accesso alle informazioni, in quanto non sarà capace di decodificare facilmente alcun tipo di dato.