IL RISCHIO INFORMATICO PER GLI STUDI PROFESSIONALI Michele lasel ‘Sommario: 1. Che cosa si intende per cyber risk - 2. Vevoluzione della rete: servizi isponibil online e rischi conness - 3. I concerto di sicurezza informa tica - 4, Le misure di sicurezza nel codice della privacy e nel Regolamento eu- ropeo sulla protezione dei dat! personali- 5. | cybererimes: nozione e caratte- ristiche - 6. Gli attacchi provenienti dal Web — 7. Le applicazini nel settore ‘mobile - 8. Come difendersi dai virus ¢, in particoare, dalle nuove generazioni virus (Ransomware) - 9. Ueriori consi pratci per evtare truffe informa e 1. Che cosa si intende per cyber risk ‘A partire dagli anni novanta, con la nascita e conseguente diffusione di Internet le nuove tecnologie hanno assunto un ruolo sempre pit preponde- rante modificando i rapporti sociali ed individuali, con notevoliripercussioni in ogni ambito della nostra vita sociale. ‘Con il passar del tempo, Internet & diventato uno strumento di comuni- cazione di massa, indispensabile nella vita di tuti i giorni, si pensi alle nu- merose operazioni che compiamo regolarmente utilizzando il Web, quali in- viare una candidatura online tramite un form, condividere dei contenuti sui social, acquistare un viaggio o eseguire un’ operazione bancaria, ma rappre- senta anche un opportunita inestimabile per lo sviluppo economico delle im- prese, come delle istituzioni scientfiche e pubbliche, La rivoluzione digitale sta dunque portando molti benefici a societa, imprese, studi professionali ma, come spesso accade, bisogna considerare anche il rovescio della medaglia. Difatt, accanto agli innumerevoli benefici, uso incontrollato di Intemet pud comportare una quantita notevole di insi- die ¢ problematiche che rientrano nell’ambito di quel fenomeno definito cy- ‘ber risk “rischio informatio (0 ICT)”. In termini metodologici, secondo le linee guida internazionali, storica- ‘mente sono classificate 5 grandi famiglie di rischio: ‘*rischi operativi, rischi finanziari, rischi strategici, rischi organizzativi, rischi di pianificazione aziendale e porting, ‘Aeotats Present ANLIP (Aono Naponde per a ess dela Prva), Doar hina ea presto a LUIS, we ign Mintere dea Dem.Il rischio informatico per gli studi professionali Il cyber risk ha una caratteristica peculiare in quanto pud indifferente- mente abbracciare ciascuna delle cinque famiglie di tischio citate e conside- rarsi come una nuova tipologia di macro-rischio determinata dall’evoluzione tecnologica. Pi precisamente, il rischio informatico pud essere definito come il ri- schio di danni economici (rischi diretti) e di reputazione (rischi indirett) de- ‘ivanti dall'uso della tecnologia, intendendosi con cid sia i rischi implicit ‘ella tecnologia (i cosiddettirischi di natura endogena) che i rischi derivanti dall’automazione, attraverso I'uso della tecnologia, di processi operativi aziendali (i cosiddett rischi di natura esogena). Irischi di natura endogena sono: - naturali: incendi, calamit natural, inondazioni, terremoti; + finanziari: variazione dei prezzi ¢ dei costi, inflazione; ~ strategici: concorrenza, progressi scientifci,innovazioni tecnologiche; errori umani: modifica e cancellazione dei dati, manomissione volon- taria dei dati 1 rischi di natura esogena, o di natura operativa sono i rischi connessi alle strutture informatiche che compongono i sistemi. Essi sono: = danneggiamento di hardware e software; - errori nell’ esecuzione delle operazioni nei sistemi; = malfunzionamento dei sistemis - programmi indesiderati. Tali rischi possono verificarsi a causa dei cosiddetti programmi “virus” destinati ad alterare od impedire il funzionamento dei sistemi informatici Ma vi sono anche le truffe informatiche, la pedo-pomografia, il cyberbulli- ‘smo, i ricatti a sfondo sessuale derivanti da video chat on line ¢ solo una piena consapevolezza del concetto di sicurezza informatica pud davvero ‘metterci al riparo da sgradevoli sorprese. Ogni giormo vengono compiuti migiiaia di attacchi informatici attra- verso le tecniche piii varie e termini come malware, ransomware, trojan horse, account cracking, phishing, 0-dayvulnerability sono diventati parte del vocabolario anche per i non esperti. J. Edgar Hoover, capo dell FBI (Federal Bureau of Investigation) mol- tissimi anni fa affermava: “L unico computer a prova di hacker & quello spento, non collegato ad Internet e chiuso a chiave in una cassaforte™. Ap- pena viene riacceso diventa potenzialmente vulnerabile © pud essere attac~ ato, ad esempio durante ['installazione di eventuali aggiomamenti al stema operativo. Per evitare attacchi informatici, 0 almeno per limitame le conseguenze, & necessario adottare delle contromisure; i calcolatori e le reti di telecomu- nicazione necessitano di protezione anche se come in qualsiasi ambiente la sicurezza assoluta non é concretamente realizzabile. Tl modo per proteggersi é imparare a riconoscere le origin del risehiv. 2 Il rischio informatico per gli studi professionali Gli strumenti di difesa informatica sono molteplici, si pensi antivirus, anti spyware, blocco popup, firewall ece., ma tuttavia non sempre sirivelano ef= ficienti, in quanto esistono codici malevoli in grado di aggirare facilmente le difese, anche con l'inconsapevole compliciti degli stessi uten Di recente si sta assistendo alla nascita di una nuova modalita di pre- venzione del rischio informatico: il Trusted Computing. L'espressione inglese Trusted Computing (TC, letteralmente informa- tica fidata 0 calcolo fidato) si riferisce ad une tecnologia nascente, con Vobiettivo dichiarato di rendere dispositivi come computer o telefoni cellu- lari pid sicuri mediante 'uso di opportuni hardware o software. IL TC si basa sull'uso della crittografia. Dunque l’obiettivo del TC non & quello di introdurre nuovi strumenti software per frontegeiare i rischi ed attacchi connessi a sistemi informatici ed a reti di telecomunicazioni, ma bensi di costruire sistemi hardware o software non abilitati a determinate funzioni in grado di comprometteme la sicurezza, nonch¢ il controllo attra~ verso Intemet, del rispetto delle limitazioni di funzionalita da parte degli utenti dei sistemi Un altro aspetto di notevole importanza del rischio informatico e di in- teresse per gli studi professionali su cui dobbiamo soffermare la nostra at- tenzione @ il risk management. Il risk management (gestione del rischio) & quel processo attraverso il ‘quale si misura o si stima il rischio e successivamente si sviluppano le stra- tegie per fronteggiaro. La gestione del rischio, cosi come descritto nella Convenzione Inter- bancaria per i problemi dell" Automazione (CIPA) nel rapporto sul rischio informatico si articola in diverse fasi: 7 denifcazione dol rishi = individuazione dele minacce: ~indviduazione del danni che posso devare dal concrlizzarsi delle minaccee le ero valutazione; + identfcazione dele possibli contromisure per contrasiare le minacce amecate alle risorseinformatiche Diverse sono le modalita di gestione del rischio. A seconda del livello di rischio che un soggetto sia esso un'azienda, persona o ente ritiene accet- tabile si distinguono: + Evitare: si modificano i processi produttivi, modalita di gestione ed amministrazione con lo scopo di eliminare il rischio. + Trasferite il rischio ad un altro soggetto: il trasferimento del rischi awiene nei confronti di assicurazioni, partner ¢ si tratta principalmente rischi economici perch¢ pit facilmente quantificabili.I rischio informatico per gli studi professionali «+ Mitigare: consiste nel ridurre, attraverso processi di controllo e veri- fica, la probabilita del verificarsi del rischio o nel limitamne la gravith delle ‘conseguenze nel caso in cui si verifichino. * Accettare: ossia assumersi il rischio edi relativi cost. Da alcuni anni linteresse degli operatori economic sul cyber risk & cre- sciuto notevolmente. Questa crescita ¢ stata tale da suscitare I’interesse delle compagnie di assicurazione su questa tipologia di rischio. ‘Negli Stati Uniti le polizze assicurative esistono da pid di 15 anni, men- tre invece in Italia sono state introdotte solo da pochi anni 2. L’evoluzione della rete: servizi disponibili on line e rischi connessi Molto spesso sentiamo parlare di Web 1.0, 2.0, 3.0 senza conoscerne il reale significato e le differenze tra essi, Ma cosa si intende per Web? II Web & uno spazio elettronico e digitale destinato alla pubblicazione di contenuti multimedia (test, immagini, audio, video, ipertest, ipermedia ecc.), rnonché uno strumento per implementare particolar servizi come ad esempio il download di software (programmi, dati, applicazioni, videogiochi ecc-). Tale spazio elettronico e tali servizi sono resi disponibili attraverso par- ticolari computer collegati in rete chiamati server Web. Sié soliti ricondurre la nascita del Web (il World Wide Web letteralmente “rete di grandezza mondiale”) al 6 agosto 1991, giomo in cui Tim Berners-Lee, informatico britannico, public il primo sito Web dando cosi vita al fenomeno “WWW” (detto anche “della tripla W”). L’evoluzione del Web si articola in diverse fasi: Il Web 1.0 (il suffisso 1.0 fu aggiunto successivamente per differen- ziarlo dail” evoluzioni di Web successive) era caratterizzato dalla presenza di siti Web statici enon interattivi, erano formati da pagine rieche di iperte- sti, contenenti collegamenti ad altre pagine. | Web 2.0 viene inteso come evoluzione della rete e dei siti internet, caratterizzati da una maggiore interattivita che pone l’utente al centro della rete, Internet non & piii una semplice “rete di reti", né un agglomerato di siti Web isolati e indipendenti tra loro, bensi la “summa” delle capacita tecno- ogiche raggiunte dall’uomo nell’ambito della diffusione dell'informazione ¢ della condivisione del sapere In altri termini il Web 2.0 & V’insieme di tutte quelle applicazioni on- line che permettono un elevato livello di interazione trail sito Web e I'utente ‘come i blog, i forum, le chat, i wiki, le piattaforme di condivisione di media come Youtube, social network, ecc. I termine Web 3.0 € stato coniato da Etic Schmidts (ceo di Google) nel 2007, La linea di sviluppo principale che caratterizza il Web 3.0 €il concetto di Weh semantico (semantic Web). Iltermine Web semantico fariferimento allin- serimento nel Web di informazioni comprensibili da parte del calcolatore. 4 Il rischio informatico per gli studi professionali Web attuale corrisponde solo in piccola misuraall'idea del Web seman- tico che nasce dalla necessiti di facilitare lo scambio di informazioni non solo tra gli uomini, che sirealizza con il Web 2.0, ma anche tra le macchine. In sintesi, possiamo dire che i Web 3.0 € caratterizzato da contenuti ‘comprensibili dal computer, dal collegamento dei dati grazie a citer di clas- sificazione comuni e, infine, dal’ Internet of Things (IoT), neologismo rife- rito all’estensione di Internet al mondo degli oggetti e dei luoghi conereti dove Poggetto ha un ruolo attivo, dinamico, interagisce con il mondo circo- stante in modo intelligente, grazie a una serie di “sensori” e “attuatori” & tramite un collegamento alla Rete. (Oggi gi sono immessi in commercio elettrodomestici programmabili a distanza (domotica) 0 che comunque grazie al collegamento alla Rete sono in grado di fornire ulteriori informazioni al consumatore (possibili guast, consumi di elettricit,ecc.). ‘Sin dall'inizio la Rete ha messo a disposizione dei propri utenti tantis- simi servizi, ricordiamo le maling-list, i newsgroup, i personal Web site pet poi passare ai pit: moderni wiki, blog, social network (facebook, twitter, lin- kedin, myspace, youtube, ecc.). Spesso questi servizi sono gratuiti, ma i ge- stori di queste piattaforme sociali in cambio ci chiedono i nostri dati perso nali al fine di poter tracciare le nostre identité digital. In questo modo & possibile profilarci e condurre efficaci poitiche di marketing a vantaggio di aziende talvolta prive di serupoli. Bisogna stare attenti alle attvita delle aziende che gestiscono i social network, in quanto generalmente si finanziano vendendo pubblicita mirate. Il valore di queste imprese é strettamente legato anche alla loro eapaciti di analizzare in dettaglio il profilo, le abitudini¢ gli interessi dei propri utenti, per poi rivendere le informazioni a chi ne ha bisogno. 1 social network (Facebook, MySpace ¢ altri) sono “piazze virtuali”, cio dei luoghi in cui via Intemet ci siitrova portando con sé e condividendo con altri fotografie, filmati, pensieri, indirizzi di amici e tanto altro. 1 social network sono io strumento di condivisione per eccellenza e rap- presentano straordinarie forme di comunicazione, anche se comportano dei Fischi per la sfera personale degli individui coinvolti, Sono strumenti che “Aspetto e personalizzazione” -> “Opzioni cartella” ¥ Limitare laccesso alle risorse di rete. ‘Alcune varianti di Ransomware con componente di ciffatura sono in ‘grado di controllare anche le risorse di rete (car‘elle condivise sia in lettura sia in scrttura). I! malware, nel caso in cui i permessi utente lo consentano, @ in grado di cifrare i documenti contenuti nelle cartelle condivise anche se la cartella€fisicamente presente su un altro PC non infetto. Per questo mo- tivo é necessario evitare di rendere permanente il collegamento a cartelle di rete contenenti documenti di vitale importanza. 4) Fare copie di backup periodiche dei dati personali su dispositvi fissi © mobil. E preferibile salvare su un hard disk estemo i documenti sensibili, & ‘buona norma collegare I’hard disk su un computer senza accesso alla rete internet e su dispositivi di cui si& cert di non aver precedentemente eseguito azioni che potrebbero aver compromesso il sistema, Si raccomanda di scollegare sempre il diseo estemno non appena con- cluso il backup e riconnetterlo solo all occorrenza, come nel caso di succes- sivi backup o per il ripristino det dati. Valutare inoltreI'utilizzo di software © dispositivi NAS con funzionaliti automatiche di rilascio del disco esterno qualora conclusa Vativita 0 che predispongano I’inserimento di una pas- sword per accesso allo storage. 5) Usilizzare un buon sistema antivirus eseguendo regolarie giomnalieri ‘aggiornamenti del prodotto. Si rammenta che la protezione antivirus, regolarmente attiva e funzio- nante, rimane un valido deterrente limitatamente alle minacce note ma non consente di ripristinare dati sottoposti a cifratur. 6) Mantenere aggiornato tutto il so E buona norma eseguire controlli periodici al fine di verificare l’even- tuale rilascio di aggiornamenti di sicurezza del sistema operativo e dei sin- goli programmi successivamente installat 7) Se possibile, uilizzare un personal firewall. 1 firewall, nativamente disponibile in moltisistemi operativi, dovrebbe essere configurato in modo da consentire la connessione verso internet solo alle applicazioni strettamente necessari; cosi daimpedire che eventuali pro- ‘grammi e/o malware possano scaricare autonomamente codice malevolo. In generale vale la regola di non eseguire file di dubbia provenienza e di operare sul sistema con privilegi utente limitati, ad ogni modo le indica .opra riportate non possono garantire una protezione completa contro 23Il rischio informatica per gli studi professionali questa tipologia di virus, per cui si consiglia a tuti gli studi professionali sempre la massima prudenza, 9. Ulteriori consigli pratici per evitare truffe informatiche 1. Bisogna protcggere sempre la propria password. Mai divulgarla € cambiarla periodicamente, almeno ogni 3 mesi. £ opportuno, inoltre, uiliz~ zare sempre il numero massimo di caratteri che vengono messi a disposi- ione dal sistema, In questo modo si rende pit difficile la violazione da parte dei programmi che decriptano password. Possitilmente non bisogna usare parole di senso compiuito, € fondamentale la combinazione di minuscole, maiuscole, numeri ¢ caratteri speciali (S@#). Non bisogna legare Ia pas- sword a parole della propria vita privata o a date di nascita di familiar. Infine Ja password va cambiata per ogni account e va subito modificata quella as- segnata inizialmente in automatico. 2. Prima di inserire i dati personali in un modulo o in una pagina web, bisogna verificare la presenza di indicatori che ne attestino la sicurezza (ad ‘esempio che lindirizzo contenga la scritta https ¢ il simbolo del luechetto cchiuso accanto). Per comunicazioni riservate deve essere utilizzato software 4i cifratura per criptare un documento (ve ne sono tanto gratuiti scaricabili dalla rete come: Drag’n Crypt ULTRA, ProtectFile, PixelCryptor, FileDe- ‘coder, ecc.). Nei social e nelle chat non vanno mai divulgate informazioni sensibili come il nome, I’indirizzo, il numero telefonico, il numero di conto la password. 3. Bisogna prestare moltaattenzione alle informazioni personali quando si accede ad intemet utilizzando una rete che non si conosce o di cui non si € sicuri (ad esempio una rete Wi-Fi gratuita in un locale pubblico). Con que- ste reti, chiunque nelle vieinanze, infatti con cotoscenze informatiche ade- uate potrebbe monitorare le informazioni trasmesse tra il compu- ter/smartphone ¢ I’hotspot Wi-Fi, Inoltre se si possiede una rete Wi-Fi a casa, bisogna proteggerla con una password sicura per evitare che altre per- sone la possano violare. 24