L’impatto della #DigitalTrasformation sulla sicurezza

Dati, potenza di calcolo e connettività; Big Data, Cloud Computing e Internet of Things rappresentano solo alcune parole chiave dell’Industry 4.0, ovvero della quarta rivoluzione industriale che cambierà, attraverso il digitale, molti aspetti delle imprese tra i quali non manca certo quello legato alla sicurezza.

L’evoluzione nel settore del crimine informatico

Anche il settore del cybercrime sta vivendo la propria digital trasformation e si sta modificando molto rapidamente, compiendo soprattutto un salto di qualità per il tipo di tecnologia utilizzato negli attacchi e per la sofisticazione nella scelta dei target. Negli ultimi anni, infatti, i criminali informatici si sono organizzati meglio e hanno collaborato per elaborare insieme delle vere e proprie “best practice” di attacco in grado di sfruttare nuovi varchi resi possibili dalla digitalizzazione di processi e sistemi. Secondo recenti studi le falle sfruttate dai cybercriminali faranno lievitare nei prossimi due anni del 25% circa la spesa aziendale per la gestione del rischio e della sicurezza IT. Attualmente in azienda non vengono trafugate infatti informazioni solo relative alle carte di credito, ma anche di tipo economico-finanziarie molto riservate: comunicazioni commerciali, proprietà intellettuali, opere di ingegno e, soprattutto, credenziali e identità digitali di milioni di utenti, clienti, dipendenti e partner. Lo stesso Security Report HPE ha messo in evidenza che il perimetro di rete si sta progressivamente dissolvendo e gli hacker si stanno focalizzando sulle applicazioni mobile. I responsabili della sicurezza devono modificare il proprio approccio di conseguenza, per proteggere non solo la periferia ma anche le interazioni tra utenti, applicazioni e dati indipendentemente dalla posizione o dal dispositivo.

Nuove forme di identificazione: la biometria

Il 2016 appare configurarsi come un anno di svolta nel settore dell’autentificazione biometrica; un sistema di riconoscimento biometrico, in inglese noto come Automatic Identification and Data Capture (AIDC) è un particolare tipo di sistema informatico che ha la funzionalità e lo scopo di identificare una persona sulla base di una o più caratteristiche biologiche e/o comportamentali (biometria), confrontandole con i dati, precedentemente acquisiti e presenti nel database del sistema, tramite degli algoritmi e di sensori di acquisizione dei dati in input.

Entro la fine dell’estate dovrebbe partire inizialmente in Inghilterra e successivamente in altri 14 mercati un nuovo sistema di autenticazione del circuito MasterCard basato sul riconoscimento facciale, familiarmente identificato con il termine ‘selfie pay’, visto che permetterà agli utenti di pagare attraverso il proprio PC, smartphone o wearable senza dover inserire PIN o password, ma semplicemente, una volta scaricata l’applicazione facendosi scansionare il volto dalla fotocamera del dispositivo. Un approccio non dissimile allo Smile to payproposto da Alibaba. E’ da ricordare che in principio fu Apple, con il sistema Touch ID (lettore di impronte digitali) che a partire dall’iPhone 6 ha sancito un legame indissolubile tra dispositivo e utente non solo per il riconoscimento e l’accesso al sistema (già disponibile sul modello 5S), ma anche per autorizzare le transazioni digitali. Persino le banche tradizionali si stanno muovendo in questa direzione: in Gran Bretagna HSBC e First Direct hanno annunciato l’introduzione di sistemi basati su Touch ID e Voice recognition. Juniper Research prevede che entro il 2019 saranno scaricate circa 770 milioni di app dedicate all’autenticazione biometrica (attualmente i download sono sei milioni) con cinque miliardi di operazioni autorizzate, mentre Acuity Market Intelligence prevede per il 2020 un mercato globale composto da circa 2,5 miliardi di utenti che disporranno di ben 4,8 miliardi di dispositivi. Le revenue per gli sviluppatori, secondo ABI Research, già nel 2015 hanno raggiunto i 13,8 miliardi di dollari.

Gli impatti della Digital Transformation sulla sicurezza

Le tecnologie, indubbiamente molto comode ed utili per gli utenti, pongono però nuove questioni sui temi di privacy e sicurezza dei dati personali. Perché se PIN e password possono essere cambiate con la stessa semplicità con cui possono essere dimenticate, i connotati fisici come retina, impronte digitali, voce, battito cardiaco e lineamenti del viso, solo per citare gli ambiti principali a cui si sta dedicando l’R&D del comparto, non possono essere alterati. Cosa accadrebbe quindi in caso di furto? La prospettiva non è così peregrina o inattuabile. La scorsa estate una società specializzata in IT security, la FireEye Labs, ha scoperto che le impronte digitali memorizzate dai dispositivi HTC One Max venivano conservate in un database accessibile a qualsiasi sviluppatore di app. Dopo aver scoperto la falla, il produttore taiwanese è corso ai ripari senza apparentemente alcun danno per gli utenti finali e malgrado in questo caso si sia trattato di un errore grossolano, pone una attenta riflessione il fatto che nessun sistema può dirsi assolutamente al sicuro da attacchi mirati, la cui precisione ed efficacia aumentano al crescere delle nuove soluzioni tecnologiche. Ed infatti la maggioranza dei consumatori, secondo la recente ricerca del Mobile Ecosystem Forum (MEF) malgrado sia affascinato dal mondo iperconnesso e dalle funzionalità dell’Internet of everything (IoE) è fortemente preoccupata in merito agli aspetti legati alla privacy (62%) e sicurezza (54%) dei dispositivi.

Quali i rischi maggiori per le aziende secondo gli esperti?

Secondo Peter M. Tran, esperto internazionale di cybersecurity, un primo problema è rappresentanto dall’immagazzinamento dei dati all’interno del dispositivo: “Venendone in possesso o installando malware da remoto, i cyber criminali hanno una facilitazione all’accesso alle informazioni personali contenute nel dispositivo, e all’utilizzo delle applicazioni, anche di natura finanziaria abilitate da quei parametri biometrici”. L’alternativa potrebbe essere dunque custodire il tutto in cloud? A quanto pare no considerato che anche in quel caso sviste come quella di HTC o attacchi mirati di professionisti, tramite il controllo delle app che farebbero da ponte tra smartphone e data center, continuerebbero a rappresentare una seria minaccia per l’integrità della privacy degli utenti finali. Tran, infatti, conferma che: “Le imprese non sono preparate al processo di digital trasformation in relazione agli aspetti di sicurezza informatica; la maggior parte di queste ha sviluppato le infrastrutture in relazione all’utilizzo delle applicazioni e dei big data ma non in relazione alla protezione e analisi per la cybersecurity. Un esempio evidente di questa poca attenzione riguarda la crescita esponenziale di attacchi ransomware”.

C’è infine da considerare che per quanto avanzate, le piattaforme biometriche attualmente disponibili non sono ancora capaci di garantire performance efficaci al 100% in tutte le circostanze d’uso: la maggior parte dei lettori di impronte digitali lavora con un margine d’errore che va dall’1 al 3%. Criminali e truffatori possono dunque fare leva anche su queste debolezze tecnologiche intrinseche.

Un altro rischio emergente relativo al settore IoT è rappresentato dalle applicazioni mobile. Al momento circolano circa 4 milioni di applicazioni e tra queste circa il 70% di quelle presenti nel market Android hanno codice malevolo, ma la maggior parte degli utenti non ha sui propri dispositivi adeguati strumenti di prevenzione o rilevazione o antivirus.

In conclusione secondo Peter M. Tranla sicurezza andrebbe definita all’inizio del processo decisionale e di pianificazione implementando la visibility del processo contemporaneamente allo sviluppo dell’infrastruttura. La nuova strategia di sicurezza non può più essere relegata agli aspetti di prevenzione o blocco degli attacchi a livello di piattaforma ma deve utilizzare tutte le nuove tecniche di analisi al fine di identificare le maggiori aree di rischio nel perimetro aziendale. Quindi c’è la necessità di dare evidenza e sviluppo non solo all’infrastruttura ma al processo completo per la sicurezza delle informazioni”.

Rispetto alla opportunità per le aziende di trasformarsi digitalmente Piepaolo Alì, HPE Security, afferma convinto: “Security 3.0, BigData, Internet of Things , Cloud  fanno da tempo parte delle strategia centrale di HPE che si è strutturata per abilitare questa trasformazione. Le aziende tecnologiche che non saranno in grado di accogliere questa rivoluzione saranno a breve fuori dai giochi.”

Facebook Comments

6 COMMENTS

  1. Ã…h elsker citron fromage 😉 bÃ¥de den ægte vare og den lidt uldne ;-p Jeg har mange opskrifter, jeg bruger som basis, men ikke opskrifter generelt bliver strikket oppefra og ned… desværre for det er sÃ¥ fedt at strikke modsat retning :-)God weekend og tusind tak for inspirationen 😉

  2. People are reading too much into this. It has only just started and people are whinging. Tim: The baby has just taken its first breath and already he is a convicted mass murderer?Bring on Ubuntu One!

  3. – oh my goodness. i watched the portrait video and then looked at this set of wedding photos, and i am genuinely touched. i’ve ever seen a set from a wedding that’s made me want to cry. and my sister is married! haha.i can tell that this is what you’re meant to do. you captured so many great moments and the photos are so achingly beautiful. not to mention, everyone in them is gorgeous! that must help! thanks for these!rachael

LEAVE A REPLY

Please enter your comment!
Please enter your name here