A partire dagli anni 70 del secolo scorso, l'evoluzione sociale e tecnologica ha progressivamente mutato il paradigma dell'attività lavorativa, prima tradizionalmente svolta entro gli spazi fisici controllati dal datore di lavoro. Tale progressione ha subito una accelerazione mai vista prima a motivo della recente crisi sanitaria. Le conseguenti misure di contenimento e gestione, infatti, hanno forzato il ricorso al lavoro agile, peraltro anche tramite dispositivi elettronici non controllati dalla piattaforma tecnologica datoriale; dispositivi, tra l’altro, non sempre in linea - come facilmente intuibile - con le raccomandazioni o gli standard degli enti di certificazione o omologazione.
Gli effetti sulla sicurezza delle informazioni e sulla continuità operativa delle reti, dei sistemi informatici e dei servizi informativi non si sono fatti attendere. E i prossimi mesi faranno verosimilmente emergere ulteriori evidenze di una vulnerabilità sistemica tutta nuova per dimensione, figlia di due aspetti concomitanti, i cui effetti si sono fatti spalla l'un l'altro con esito esponenziale: il disallineamento repentino venutosi a creare tra perimetro di sicurezza informatica e perimetro di sicurezza fisica; e l'utilizzo massiccio dei dispositivi personali per sopperire - in misura marcata nella prima fase della crisi - alla mancanza di client enterprise (smartphone, tablet e computer assegnati dal datore di lavoro ai dipendenti, per intenderci) necessari ad assicurare lo “smartworking”.
Sì, perché il mondo del lavoro si è svegliato un bel mattino ed ha dovuto fare i conti con una realtà - il confinamento domiciliare - che ha deviato sui segmenti tecnologici dell’intimità domestica il flusso delle informazioni di lavoro e l'operatività di imprese, pubbliche amministrazioni e terzo settore. Una mole di traffico, non propriamente “leisure”, è piombato sul piccolo router di famiglia (la porta di ingresso cibernetica di casa), sul computer della cameretta dei figli - utilizzato in promiscuità anche per lezioni di didattica a distanza - ovvero sull'ultima versione di smartphone di fabbricazione "lontano-orientale", su cui hanno iniziato a coabitare indifferentemente sessioni di lavoro in videoconferenza, variegate attiva ludiche e le più stravaganti interazioni di social networking.
Il tutto condito dal fatto che, per ovvie ragioni pratiche ed economiche, questi neonati e improvvisati segmenti di rete hanno spostato in modo preponderante l'accento - a livello fisico - sulla tecnologia radio (Wi-Fi), meno affidabile dei cavi di rame e della fibra ottica.
Per farla breve, a fronte di gateway, portali, firewall e server di accesso remoto (cioè delle cyber-corazzate schierate a protezione delle reti di caserme, ministeri, organizzazioni no-profit e aziende) il nemico ha avuto l'opportunità di aggirare il fronte di difesa e sfondare lateralmente tramite il modem nascosto nello sgabuzzino di casa dei “teleworkers".
L'argomento è di tale rilievo che il National Institute for Standards and Technology ha lanciato una “Call for comments”, mobilitando l'intelligenza collettiva di settore per adeguare la standardizzazione dei processi e delle metodiche di sicurezza alla mutata realtà. Ed in Patria, l'argomento è sotto l'attenzione di CSIRT Italia (le forze speciali Cyber della nostra Repubblica, per intenderci), che tra l'altro ha avviato una specifica campagna di sensibilizzazione.
Vediamo allora di fare il punto - a volo d'uccello - sui profili di rischio da monitorare.
Anzitutto il perimetro di analisi da considerare è costituito da tre aree di processo, parzialmente sovrapponibili ma concettualmente diverse: il "telework", cioè lo svolgimento dell'attività lavorativa fuori dal perimetro di sicurezza fisica dell'organizzazione; il "remote access", cioè la possibilità di accedere - dall’esterno - alle risorse informatiche non pubbliche di una organizzazione; il "BYOD", acronimo di “Bring Your Own Device” e cioè la possibilità di svolgere l'attività lavorativa con smartphone, tablet e computer non controllati dal datore di lavoro, cioè quelli di proprietà personale del lavoratore o di terze parti contrattuali (contractors).
Il rischio in disamina va inquadrato facendo quattro assunzioni di base. La prima deriva dalla considerazione che non si può proteggere ciò che non si controlla fisicamente. Nel telework si lavora - per definizione - fuori dal perimetro di sicurezza fisica datoriale e dunque i “client” dell'organizzazione possono essere più facilmente dispersi, rubati o rimanere temporaneamente fuori dalla disponibilità del lavoratore. La conseguenza qui può essere la perdita del dato salvato nel dispositivo smarrito oppure il tentativo di accesso fraudolento alle infrastrutture server, sfruttando i meccanismi di autenticazione del dispositivo rubato.
La seconda fa riferimento al fatto che, salvo costose eccezioni in genere legate alla circolazione di informazioni strategiche per i sistemi di difesa e sicurezza nazionale, il “remote access” avviene tramite reti - radio o cablate - messe a disposizione da terze parti (providers) e della cui sicurezza non si ha il controllo. Da ciò discende tutto il tema dell'intercettazione abusiva del traffico dati per finalità di furto o sabotaggio informativo, tipiche delle tattiche offensive di Man-In-The-Middle (MITM).
La terza, di molta affinità concettuale con la crisi sanitaria attuale, consiste nel pericolo di contagio da virus informatici tramite dispositivi infetti a cui si è permessa la connessione alla rete interna dell'organizzazione. Questo, ad esempio, è il terreno di elezione delle tattiche Initial Access dei cyber-pirati che si pongono l’obiettivo di infiltrare nell'ambiente informatico della vittima un eseguibile per condurre azioni di sabotaggio, danneggiamento, furto oppure di comando e controllo clandestino.
L'ultima assunzione va fatta con riferimento alla risorse interne che si decide di rendere disponibili all'accesso dall'esterno, specie se realizzata da BYOD, come ad esempio il laptop dell’appaltatore, lo smartphone personale del lavoratore dipendente, il tablet del consulente. Qui, paragonando, vale l’approccio dell’esser cauti nel dare le chiavi di casa al giardiniere, perché non ti capiti che ti chiuda fuori di casa o svaligi l’appartamento in tua assenza.
Una serie di assunzioni di rischio suppletive vanno fatte specificamente per i BYOD. Descriviamole brevemente: anzitutto esiste sempre un gradiente di “thickness” (robustezza del grado di sicurezza) tra ambienti informatici del datore di lavoro e dispositivi personali: questa sbavatura, costituisce fattore di vantaggio per l’avversario. Per natura infatti gli smartphone personali sono votati ad uso di svago e sono comprensibilmente più “thin” (per così dire più fragili) rispetto alle infrastrutture datoriali, ove le esigenze di sicurezza e continuità operativa obbligano ad essere più robusti che flessibili. Inoltre, l’eventuale traffico illegale generato da BYOD collegati alla rete del datore di lavoro può essere attribuita a quest’ultimo, con evidenti complicazioni legali e danni reputazionali.
Infine, una rete datoriale che permette la connessione di BYOD può essere inconsapevole terreno di scontro tra dispositivi di terze parti. E far sicurezza non significa solo proteggere il nostro patrimonio; ma anche evitare che qualcuno sfrutti i nostri asset per sferrare attacchi ad altri!
Per approfondire:
https://csrc.nist.gov/publications/detail/sp/800-46/rev-3/draft
https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking
https://www.difesaonline.it/evidenza/cyber/microsoft-sicurezza-e-privacy-ai-tempi-del-covid