Michael Neuman - Diana Moore
ACM Student Magazine 1996 (D.L.)

Il presente articolo sulla sicurezza dei sistemi informatici viene riportato in questo numero dell'Osservatorio Editoriale sui Sistemi Informativi dedicato al tema della Privacy perché uno dei luoghi comuni più manifestati dall'odierno dibattito in corso nel nostro paese sul tema del diritto alla riservatezza è l'osservazione secondo la quale "non c'è privacy senza sicurezza". Non a caso la legge 675 del 1996 dedica a questo argomento alcuni articoli e molta attenzione.

Sono trascorsi 20 anni da quando Bell e La Padula - autori del "Secure Computer System: Unified Exposition and Multics lnterpretation" - hanno presentato un modello che forniva le basi per avvicinarsi ad una situazione di totale sicurezza dei sistemi di trattamento automatico delle informazioni.

Nove anni dopo, nel 1985, le specifiche di base per mettere a punto un sistema informatico "sicuro", basate sul modello Bell-La Padula, furono pubblicate dal Dipartimento della Difesa degli Stati Uniti nell'Orange Book (così chiamato in relazione al colore della copertina del volume che lo contiene).

L'orange Book, ovvero i Trusted Computer Systems Evaluation Criteria, è una raccolta di criteri di valutazione della sicurezza informatica principalmente orientata alla valutazione dei sistemi operativi multiutente. In estrema sintesi questa raccolta definisce sette classi di sistemi, elencate secondo un ordine crescente di sicurezza. L'assegnazione di un sistema ad una delle sette classi suddette avviene sulla base:

Due anni più tardi fu approvata la legge sulla Sicurezza Informatica (Computer Security Act 1987).

Fatta questa premessa di tipo storico M. Neuman e D. Moore si chiedono che cosa sia stato aggiunto alla sicurezza complessiva dei sistemi dagli ultimi 20 anni di ricerca e 9 anni di adeguamento della normativa.

Certamente si sono avuti numerosi e significativi progressi tecnici, soprattutto nelle aree più critiche: autenticazione, sistemi di rilevazione di accessi non autorizzati e secure voting.

Ma ci siamo avvicinati maggiormente ad una situazione che garantisca la completa sicurezza delle reti e dei sistemi informativi?

Sfortunatamente la risposta sembra essere negativa.

I pericoli per la sicurezza dei sistemi informatici crescono in misura direttamente proporzionale alla crescita di Internet. Uno studio sulla criminalità informatica condotto dalla Michigan State University nel 1995 dimostra che più del 93,6% delle società osservate riporta almeno un incidente significativo connesso alla sicurezza del proprio sistema informativo, mentre il 43,3% del campione ha subito attentati alla sicurezza del sistema in più di 25 occasioni.

In effetti molte tecnologie oggi disponibili, quali Firewalls, sistemi di rilevazione di accessi non autorizzati, network security scanner etc., possono e devono essere adottate per migliorare la difesa del sistema. Tuttavia questi tools rendono il lavoro dell'hacker semplicemente più lento e non necessariamente più difficile, il che non rappresenta un deterrente per i potenziali intrusi.

Dunque gli strumenti di difesa da attacchi esterni ed interni devono essere sviluppati per consentire di individuare potenziali attacchi, determinare l'estensione del danno provocato, identificare ogni tipo di strumento utilizzato dall'hacker e, soprattutto, seguire le tracce dell'intruso fino alla fonte e consentirne l'identificazione. Con l'attuale paradigma di sicurezza, puramente difensivo, i "pirati informatici" non corrono alcun rischio di esser presi.

Lo studio condotto dalla Michigan State University sui crimini informatici (1995) ha dimostrato che i pochi casi di successo in cui un hacker è stato preso sono legati ad una combinazione di fortuna, tempismo, eccessiva arroganza dell'intruso e rara abilità tecnica delle autorità specializzate in crimini informatici.

L'opinione espressa con preoccupazione dagli autori è che, non esistendo un efficace deterrente per la criminalità informatica, la situazione non farà altro che peggiorare.

Oggi, con l'internet commerce e l'interconnessione mondiale il problema della sicurezza informatica è ancora più grave rispetto al passato. E' molto probabile che tra 5-10 anni sarà molto più diffuso fare affari su Internet e che le aziende saranno così interconnesse che le risorse critiche saranno presenti on line.

Dunque cosa bisogna fare in futuro?

Certamente bisogna continuare a perfezionare i tool "difensivi", ma anche sviluppare quelli "offensivi" per la sicurezza e la difesa dei sistemi informativi.

In secondo luogo è indispensabile un adeguamento della normativa in materia di crimini informatici, nonché la creazione di corpi speciali tra le forze dell'ordine in grado di catturare e perseguire penalmente gli hacker.

Infine, altra azione importante da compiere è educare l'intera comunità virtuale, cioè tutte le persone che utilizzano Internet, alla cultura della sicurezza, sia di livello aziendale sia personale (dati e sistemi gestiti individualmente). Ogni individuo in azienda, dal semplice "navigatore" al programmatore esperto, deve comprendere cosa può significare per l'azienda l'esposizione alla perdita o alla manomissione dei dati aziendali, in quanto si tratta di una risorsa pregiata e comune.

Nell'ambito dei Trusted Computer Systems Criteria il problema della "riservatezza" è visto come primario rispetto a quello della "integrità" e della "disponibilità" secondo un approccio adottato tipicamente in campo militare. L'approccio adottato successivamente (1990) dalla Comunità Europea nella valutazione della sicurezza dei sistemi di trattamento automatico dell'informazione, si discosta da quello dell'Orange Book. Il metodo individuato dalla cultura informatica europea per molti aspetti è più flessibile ed adattabile alla valutazione di sistemi con funzionalità non previste al momento della creazione dei criteri stessi.