Allarme dall'ultimo rapporto Fbi sulla sicurezza hi-tech

di
Giancarlo Ricci

Ormai non è più solo una preoccupazione: la sicurezza delle aziende attaccate attraverso Internet è diventato un vero problema. Parlano chiaro, infatti, i risultati dell'edizione 2001 del "Computer crime e security survey", l'indagine annuale pubblicata dal CSI (lo statunitense Computer Security Institute) e realizzata insieme alla squadra speciale per i crimini informatici dell'Fbi di San Francisco.

La protezione dei sistemi informatici è ancora da molti sottovalutata, anche in quelle realtà dove ormai le reti e la trasmissione dati sono diventati diffusissimi e strategici per l'attività delle imprese.

I dati contenuti nel rapporto sono particolarmente importanti perché se confrontati con quelli degli anni precedenti dimostrano come i problemi di sicurezza, gli attacchi informatici e i virus siano aumentati a fine 2000 , ma non sempre le aziende hanno dimostrato di avere consapevolezza del problema. (Sul sito www.neteconomy24.ilsole24ore.com una Web guide e il link diretto a una sintesi della ricerca).

Incidenti informatici

Che percezione hanno della problematica-sicurezza le aziende americane? A questa domanda rispondono i numeri relativi agli "incidenti informatici" segnalati.

Un quarto del campione preso in esame ha dichiarato di avere subìto un attacco informatico nel 2000; tra queste un terzo è rimasta vittima di virus o intrusioni non autorizzate tra una e cinque volte, mentre il 24% ha registrato problemi di sicurezza tra le 6 e le 10 volte. Preoccupante la percentuale di coloro che hanno denunciato oltre 60 incidenti negli ultimi 12 mesi: si tratta del 5% del totale degli interpellati.

Secondo il rapporto dell'Fbi la maggior parte dei problemi di sicurezza arriva dall'esterno (41%) ma la percentuale degli incidenti imputabili a cause interne all'azienda non si discosta molto da quest'ultimo dato: 40 aziende su 100 hanno problemi di sicurezza che derivano da comportamenti illeciti di propri dipendenti.

Il campione

L'indagine, condotta proprio tra i responsabili della sicurezza di aziende appartenenti a diversi settori (comprese alcune istituzioni universitarie ed agenzie governative), ha interessato 3.900 professionisti che hanno ricevuto altrettanti questionari ai quali si chiedeva di rispondere in modo del tutto anonimo.

Le indicazioni arrivate sono molto utili anche alle forze dell'ordine, impegnate ormai quotidianamente a combattere la criminalità informatica. Inoltre possono incoraggiare molte aziende finora riluttanti, temendo un danno d'immagine, a denunciare alle autorità le violazioni e i reati connessi all'attività informatica.

Le imprese contattate appartengono ai più disparati settori, anche se la maggior parte di quelle considerate nell'indagine (il 17%) rientra nei due campi considerati i più delicati da un punto di vista della sicurezza informatica: l'hi-tech e la finanza. Si sa che le aziende che si muovono in questi mercati fanno larghissimo uso di computer e di reti per la trasmissione di dati ed è dunque ovvio che risultino maggiormente esposte al rischio di attacchi da parte di hacker o di infezioni da virus. Un altro settore particolarmente esposto è quello delle agenzie governative, seguito dal settore medico, da quello dell'educazione e da quello delle telecomunicazioni.

Le dimensioni delle aziende considerate dalla ricerca vanno dalle classiche piccole e medie imprese fino ad arrivare alle multinazionali. Ma il problema della sicurezza informatica in realtà prescinde dalle dimensioni aziendali.

Gli strumenti di difesa

Bisogna notare comunque che la maggior parte delle società ha dichiarato di aver adottato dei sistemi per proteggersi da attacchi e virus: lo strumento più utilizzato è il software antivirus (98 aziende su 100 dichiarano di utilizzarlo) ma anche i software di protezione perimetrale (firewall) risultano molto usati.

Gli strumenti per il controllo degli accessi e la sicurezza "fisica" (accessi ai locali, controlli del personale) sono altre due "armi" molto utilizzate dalle aziende per proteggersi mentre si affaccia, tra gli strumenti di sicurezza la biometria (un sofisticato sistema che si basa sul riconoscimento delle impronte digitali, la scansione della retina o dell'iride, della voce); nonostante alcune implicazioni riguardanti la privacy, per molti esperti di sicurezza la biometria diventerà in pochi anni uno degli strumenti maggiormente utilizzati per difendersi da hacker e da furti di natura informatica.

Molte aziende statunitensi sono convinte che il crescente utilizzo e la massiccia diffusione di Internet possano tranquillamente annoverarsi tra le cause dell'allarme relativo alla sicurezza informatica.

Le aziende che hanno risposto al questionario Csi/Fbi attribuiscono, nel 70% dei casi, la responsabilità dei loro problemi di sicurezza a Internet e alla sua diffusione.

Dipendenti infedeli

Tra coloro che usano la Rete per scopi illegali, sempre secondo l'indagine a risposte multiple, figurano al primo posto (87%) i dipendenti insoddisfatti che si vendicherebbero via Web immettendo virus e cercando di sabotare i sistemi aziendali.

Gli hacker indipendenti sarebbero la seconda causa dei problemi di sicurezza informatica (81%) ma anche le aziende concorrenti userebbero Internet come strumento per cercare di "indebolire" i rivali in affari (51%) causando loro difficoltà nella gestione dei sistemi informatici che spesso e volentieri possono tradursi in veri e propri blocchi dell'attività e danni economici e d'immagine.

I metodi d'attacco

Sono sempre i virus a guidare la classifica dei mezzi maggiormente utilizzati per causare problemi informatici alle aziende.

Tra tutte quelle interpellate dall'Fbi la maggior parte ha dichiarato di essere stata infettata tantissime volte, negli ultimi dodici mesi, e di aver avuto blocchi e ritardi nelle attività in seguito a virus "finiti" nei sistemi soprattutto introdotti attraverso la posta elettronica dei dipendenti.

Scorrendo i risultati dell'indagine emerge un dato preoccupante e che deve far riflettere: tra i tipi di attacchi denunciati dalle aziende Usa, figura un'alta percentuale (91%) di intrusioni nate e sviluppatesi all'interno delle aziende stesse.

Il dato riporta l'attenzione sulla problematica dell'"Insider abuse", pratica molto comune e spesso sottovalutata, consistente nell'accesso ai sistemi da parte di personale dipendente più o meno autorizzato all'utilizzo dei computer aziendali.

Politiche di sicurezza

In fase di valutazione di una "policy" di sicurezza aziendale, o di approntamento di un intero piano di sicurezza, la gestione degli accessi ai sistemi da parte del personale deve sempre essere tenuta in alta considerazione e deve essere attuata attraverso una severa selezione e verifica delle figure che avranno il compito di gestire i sistemi e che quindi avranno la necessità di entrare in possesso di dati delicati e a volte "preziosi" (anche da un punto di vista economico) che potrebbero far gola a molti.

Il bombardamento Ip

Analizzando invece la problematica e i risultati da un punto di vista "esterno", i Denial of service (Dos) continuano a essere uno degli strumenti preferiti dagli hacker per mettere in crisi i siti Internet e i servizi online aziendali.

Il massiccio bombardamento di pacchetti Ip verso un server — l'obiettivo è causarne la temporale paralisi — pur nella sua complessità, è un sistema abbastanza semplice e "sicuro" per chi decide di attuarlo. Rende difficile alle forze dell’ordine la procedura di individuazione dei responsabili (molto spesso sono più hacker che partecipano simultaneamente all'attacco) ed è in grado di causare danni economici e d'immagine non indifferenti.

Si deve capire la dimensione e la portata del problema perché il dato relativo alle perdite finanziarie subite dalle aziende statunitensi, quelle 196 che hanno risposto al sondaggio, e denunciate nel documento Csi è impressionante.

I danni economici

Il furto telematico di informazioni aziendali (comunque venga attuato) crea danni per un totale di oltre 151 milioni di dollari mentre le frodi finanziarie perpetrate utilizzando Internet ammontano a una cifra vicina ai 92 milioni di dollari.

In totale le aziende a stelle e strisce che hanno risposto al questionario dell'Fbi prevedono danni economici attribuibili a falle di sicurezza per un totale di quasi 374 milioni di dollari.

Nel 1997, quindi solo quattro anni fa, la stessa voce era di poco superiore ai cento milioni di dollari.

In questa lunga serie di dati sostanzialmente negativi, uno su tutti spicca per la sua positività: il 96% dei professionisti della sicurezza interpellati ha dichiarato di aver provveduto a riparare le "falle" apertesi nei sistemi e di aver inserito "l'information security" tra le principali voci di spesa in bilancio.

(Ndr: ripreso da Il Sole 24 Ore-New Economy di Venerdì 30 Marzo 2001)