L’utilizzo crescente degli smartphone nei processi d’impresa e le vulnerabilità dei sistemi operativi IoS e Android (1200 quelle scoperte nel 2017, delle quali ben 620 definite critiche) aumentano il rischio che malintenzionati possano sabotare o sottrarre dati aziendali, spesso senza la possibilità per gli amministratori di porvi rimedio con i comuni sistemi MDM (mobile device management) e anti-malware. “Lo scenario non è positivo – spiega Alessio Pennasilico, practice leader Information & cybersecurity advisory team di Partners4Innovation e presidente di AIP durante la recente Tavola Rotonda organizzata da ZeroUno in collaborazione con Mobile Iron -, il numero degli attacchi è in aumento ed è cresciuto il costo degli incidenti. Le piattaforme mobili, più dei pc, sono al centro degli attacchi perché usate da utenti distratti che installano app non sicure”. A differenza del pc aziendale, lo smartphone tende a essere vissuto dagli utenti come personale, anche a prescindere dalla sussistenza di logiche Byod (dove l’utente ha l’effettiva proprietà del dispositivo in cui usa la SIM e i servizi aziendali). Non è semplice convincere l’utente ad accettare forme di controllo “anche se sono fatte per il suo stesso bene – spiega Riccardo Canetta, regional sales director Mediterranean di Mobile Iron -. Serve dare agli utenti soluzioni facili da installare che non rendano l’uso dello smartphone più complicato e rallentino il dispositivo. Chi si occupa della sicurezza deve sapere come muoversi per evitare che il deploy di un MDM per il controllo e la gestione remota dei device mobili interferisca con la privacy delle persone o sollevi questioni sindacali tutt’altro che semplici da dirimere”.
Vecchie e nuove minacce
Nello scorso mese d’ottobre l’Italia è stata investita da un malware per attacchi mirati ai sistemi mobili, Skygofree, forse derivato dalle tecnologie d’intelligence sottratte nel 2015 alla HackingTeam di Milano. Skygofree è attivo dal 2014 ma è stato segnalato da Karspersky Lab solo nel gennaio di quest’anno. Il malware attacca i dispositivi Android consentendo di fare registrazioni ambientali attraverso il microfono e la telecamera. “I dispositivi Android e IoS sono oggi un obiettivo per il cybercrime come un tempo erano i pc, poiché in pochi si preoccupano di proteggerli”, spiega Pennasilico. Il protocollo delle connessioni Wi-Fi, per esempio, è vulnerabile agli attacchi di tipo man-in-the-middle: “In pratica i dispositivi sono programmati per collegare automaticamente l’ultimo wi-fi conosciuto, e fanno broadcast con il nome della rete – spiega Pennasilico -. Un banale strumento in vendita su Internet [Pineapple, ndr] ascolta e poi pubblica le wi-fi ricercate dai dispositivi, riuscendo a ottenerne la connessione, quindi esponendoli ad altri strumenti d’attacco”. Android ha una lunga storia di vulnerabilità, ma IoS non è da meno: “Basta un click per distrazione per ritrovarsi con un malware che dà all’attaccante il controllo di root sul device”. Benché più rari, vanno considerati anche gli attacchi portati avanti direttamente sul device. “Può accadere in Paesi ostili – spiega Pennasilico –, dove chiunque può essere fermato in aeroporto con la scusa di un controllo e il telefono finire in mano a uno specialista per il tempo necessario a sottrarre i dati o inserire un malware”. Ma al di là delle forme d’attacco più sofisticate, la gran parte delle perdite di dati riservati o critici all’esterno dell’azienda avviene per azioni sconsiderate o fatte in buona fede dagli utenti.
Il difficile rapporto degli utenti con la sicurezza mobile
La difficoltà nel far comprendere l’importanza della sicurezza sui dispositivi mobili e quindi far accettare piccole scomodità associate con i sistemi di protezione è il primo tema di cui si è discusso nella Tavola Rotonda di ZeroUno. “Abbiamo introdotto sui nostri dispositivi un MDM che obbliga a inserire un PIN di 6 cifre per dare accesso ai servizi e… Apriti cielo! – lamenta un partecipante (per garantire la tutela delle persone e la libertà di descrivere fatti e situazioni omettiamo nomi e altri riferimenti riconoscibili) –. Sono piovute tante lamentele e abbiamo scoperto che molti, in precedenza, non utilizzavano neppure il PIN di 4 cifre del telefono”. C’è un problema culturale: “Se sostituisco lo sfondo del desktop di Windows nessuno dice nulla, perché il pc è un bene aziendale. Ma se installo sullo smartphone un’app di calendario diversa da quella di Google gli utenti si lamentano perché non fa le cose nel modo in cui sono abituati. Le persone considerano lo smartphone un oggetto proprio, anche se è aziendale”.
Un altro aspetto è la percezione d’importanza che gli utenti attribuiscono alla sicurezza. “Inevitabilmente la sicurezza introduce procedure e fastidi per gli utenti finali – spiega Pennasilico -, ed è spesso molto difficile coniugare le esigenze aziendali con quelle degli utenti di usare i dispositivi senza complicazioni e perdite di tempo”. A differenza di quanto accade con i pc aziendali, gli smartphone sono stati finora impiegati senza particolari protezioni: “Chiudere il recinto a posteriori non è mai indolore”, precisa Pennasilico. I comportamenti degli utenti sono ingenui e imprevedibili. “Ho utenti che vedono la pubblicità di un’app su un manifesto in strada, la scaricano, danno l’ok a tutte le richieste senza nemmeno guardare – lamenta un partecipante alla Tavola Rotonda –. Ogni giorno diventa più difficile esercitare il controllo in presenza di nuove applicazioni e funzioni integrate nei device”.
Persino i costruttori di smartphone creano problemi quando introducono più sicurezza: “Apple ha recentemente deciso che la rubrica di IoS sincronizzata con Exchange è certamente aziendale togliendo alle app di terze parti il diritto ad accedervi – spiega Canetta -. È una decisione che ha senso per la sicurezza, ma che in molte aziende si è tradotta in un disastro, perché nessuno riusciva a usare la rubrica aziendale con Whatsapp. Restava la possibilità di copiare i numeri a mano, ma il vero problema è la quantità di persone che oggi usa Whatsapp per condividere informazioni aziendali, cosa che la security dovrebbe tenere sotto controllo”.
Cosa deve fare il CISO/CSO per essere ascoltato in azienda
La migliore strategia per chi si occupa di security non è certamente quella d’imporre regole astruse e ignorare le esigenze degli utenti. L’esempio è portato da un CSO: “C’è in azienda chi vuole rivedere la sera, sul divano di casa, le slide della presentazione che deve fare l’indomani in ufficio. Se io non offro un modo sicuro per farlo, inevitabilmente l’utente si arrangerà con Dropbox o con le chiavette di memoria, aggirando le procedure di sicurezza. Certamente posso chiudere l’accesso dal firewall, dalle porte USB, ma poi diventerebbe difficile gestire eccezioni”.
La strada delle chiusure è tutta in salita, soprattutto quando le procedure di sicurezza non vengono violate dai semplici impiegati, ma dai manager da cui dipende gerarchicamente lo stesso CSO: “L’amministratore delegato precedente era abituato a condividere in modo informale con Dropbox i report finanziari con la prima linea del management – spiega il CSO di un’azienda quotata in Borsa -. L’ho scoperto per caso assistendo un collaboratore alcuni mesi dopo che l’amministratore delegato aveva lasciato l’azienda. La condivisione sul servizio online era ancora attiva!”.
Per riuscire nel proprio lavoro, il CSO dev’essere disponibile a introdurre eccezioni, ma anche a spiegare le implicazioni della sicurezza nell’uso di servizi e dispositivi e far capire perché lo smartphone deve sottostare alle stesse regole dei pc aziendali. Il CSO deve inoltre evitare di creare preoccupazioni inutili, spiegando che gli strumenti di gestione non servono per spiare le persone e non consentono di vedere la zona personale del dispositivo: “Apple e Google, per prime, si stanno preoccupando di tutelare l’uso misto personale/professionale dei loro dispositivi ostacolando le operazioni che sono potenzialmente lesive per la privacy – spiega Canetta -. Le uniche informazioni sensibili condivise sono la posizione GPS e la lista delle app installate. Sui dispositivi mobili è tutelata la sfera personale d’uso e nessun nostro cliente usa l’MDM per bloccare al 100% l’installazione di app personali. La procedura di iscrizione dei device al nostro MDM è stata pensata per guidare gli utenti non solo sugli aspetti d’uso, ma anche nella conoscenza di cosa fa e non fa questo strumento”.
Cultura degli utenti e perdite di dati
“Abbiamo introdotto gli smartphone anni fa senza nemmeno l’antivirus – racconta un partecipante alla Tavola Rotonda -. Il numero dei dispositivi era ristretto, si trattava di smartphone Blackberry che ci offrivano un ambiente chiuso, relativamente sicuro sul fronte della tutela dei dati. Con il passaggio ad altri dispositivi si è posto il problema d’introdurre un MDM, cosa che ha richiesto un anno e mezzo di rollout. Per rendere i destinatari consapevoli abbiamo realizzato un manuale apposito e fornito supporto telefonico per guidare l’utente nell’installazione. Le maggiori difficoltà le abbiamo avute con i top manager, in qualche caso risolte utilizzando gli smartphone IoS con riconoscimento dell’impronta digitale evitando all’utente la scomodità d’inserimento del PIN. È in ogni caso difficile trovare sul mercato soluzioni che uniscano la sicurezza con l’usabilità”.
Al di là delle preoccupazioni che riguardano l’accesso e le app, l’utilizzo esteso che si fa dei servizi in cloud rende complesso garantirsi contro le perdite di dati: “Stiamo utilizzando tool MDM da 4-5 anni e ora stiamo implementando politiche di DLP (data loss prevention) molto stringenti, ma il vero problema resta il livello di cultura degli utenti, anche di quelli di alto profilo– spiega un altro partecipante alla Tavola Rotonda -. Non solo non hanno sensibilità per la sicurezza, ma non ne comprendono i meccanismi. Il 90% degli utenti sa come installare un’app, come gestire WhatsApp, comprende le funzioni del dispositivo, ma crolla se gli viene richiesto di criptare un documento. Anche nella nostra azienda abbiamo scoperto l’esistenza di condivisioni dati Dropbox da parte degli alti dirigenti. Il tema vero è che, al di là della sensibilità per la perdita dei dati aziendali, gli utenti non sanno perché non devono usare Dropbox”.
Un altro problema è come evitare che gli utenti usino la stessa password su siti diversi con la conseguenza che, se uno dei siti viene bucato, anche gli altri possano essere compromessi: “Una soluzione è rimuovere le password e supportare soltanto l’autenticazione mediante certificati – spiega Canetta -. In questo modo Outlook, Salesforce, Success Factor, SAP e tante altre applicazioni possono essere utilizzate attraverso l’autentica gestita dall’MDM. L’utente è contento perché non deve digitare le password per ogni servizio e l’azienda ha la sicurezza che non si possa accedere ai servizi aziendali dall’i-pad di casa, che presto o tardi finisce in vendita su ebay con le credenziali d’accesso ancora registrate”.
Best practice di security in pillole
“La cosa più importante è capire cosa proteggere – spiega Pennasilico – quindi agire sull’organizzazione, con consulenti e tecnologie. Gli strumenti tecnici non mancano, ma occorre saperli scegliere e capire come impiegarli. La decisione di come e cosa tutelare dipende dal tipo di azienda: se fa sistemi militari o svolge comuni attività commerciali. I rischi sono molto diversi se un documento con i termini di una gara o di una concessione fa gola a un’azienda concorrente oppure all’intelligence di un governo straniero. Va cercato il giusto bilanciamento tra obiettivo e oneri accettabili di difesa”.
Perché le cose funzionino serve il sostegno da parte del management aziendale. “Se l’amministratore delegato si aspetta che la sicurezza abbia impatti invisibili, gli va fatto capire che sbaglia, che la sicurezza richiede fatica e occorre decidere quanto impegno dedicare per ottenere un livello accettabile di tutela. Gran parte delle violazioni alle politiche aziendali di security è compiuta da persone in buona fede che cercano l’efficienza ma non capiscono il motivo per cui devono sottoporsi a oneri maggiori” dice ancora Pennasilico. Per evitare che in piena buona fede gli utenti prendano i dati aziendali e li spediscano via WhatsApp, “è possibile creare un ambiente protetto contenente le stesse app, ma gestite dall’MDM – spiega Canetta -. In questo modo se utente perdesse il portatile, non c’è possibilità per terzi di accedere al servizio”. Allo stesso modo se più utenti aziendali manifestassero interesse professionale per app di produttività, reporting o altro è conveniente per l’IT incorporare queste app all’interno dei confini dell’MDM. Questo eviterà che qualcuno violi le policy e metta dati aziendali su account non protetti”. Insomma, metodi e tecnologie ci sono. Servono volontà, costanza e cultura.