La crittografia, insieme alla formazione, è uno strumento essenziale per proteggere i dati digitali in ogni contesto. Ancor di più nella Pubblica amministrazione.
Molto spesso gli utenti non danno molto peso al modo in cui conservano i propri dati digitali, salvo poi accorgersi dell’importanza di questi ultimi solo a seguito di uno smarrimento, di un evento malevolo o di un evento distruttivo accidentale. Allo stesso tempo, non si dà molto peso nemmeno al modo in cui si inviano, tramite canali telematici ordinari, i suddetti dati.
Poniamo l’attenzione sul fatto che un normale utente possa essere anche un dipendente della PA. Come tale, esso può generare documentazione che verrà storicizzata nel proprio computer (uno o più di uno) e/o inviata a terzi per condivisione e/o ulteriori manipolazioni.
In questo caso la perdita di controllo su tali dati come conseguenza di uno smarrimento, disastro digitale o errato trattamento, può creare inconvenienti piuttosto spiacevoli.
La crittografia per preservare i dati della PA
Poniamoci nella condizione in cui il dipendente in questione sia un funzionario ministeriale. Tra le mansioni di questa figura vi sono sicuramente la creazione e la condivisione di documenti nell’ambito istituzionale.
Tali documenti saranno sicuramente memorizzati sul PC del funzionario ma, all’occorrenza, potrebbero anche essere trasferiti da quest’ultimo a terzi, tramite invio per posta elettronica o l’utilizzo di supporti removibili.
Se durante lo svolgimento di queste semplici mansioni non vi è cura di utilizzare un meccanismo di crittografia per preservare la riservatezza dei dati, questi ultimi potrebbero essere intercettati in qualsiasi momento.
Vediamo ora le criticità e le possibili soluzioni.
Le criticità della memorizzazione su PC
Partiamo dal PC del suddetto funzionario: solitamente i dati memorizzati sulla memoria di massa non sono codificati. Inoltre non sempre gli uffici sono tenuti sotto chiave.
Pertanto se un utente malevolo avesse modo di interagire con il PC del nostro funzionario, avrebbe la possibilità di esfiltrare dati abbastanza agevolmente, dal momento che questi ultimi sono memorizzati in chiaro.
Stesso problema si manifesta a seguito di una richiesta di assistenza al supporto tecnico: nel momento in cui si consegna la macchina per effettuare un intervento di ripristino si perde totalmente il controllo dei dati digitali in essa memorizzati, che potrebbero essere indisturbatamente visionati e trafugati.
Gli allegati delle email e la perdita di un supporto rimovibile
Anche l’invio di testo ed allegati tramite email avviene in chiaro: se l’utente malevolo si trova nella stessa rete del PC mittente è possibile, sfruttando la tecnica del man-in-the-middle, riuscire ad intercettare la comunicazione.
Nel caso peggiore è possibile perfino modificare il contenuto del messaggio, e dei relativi allegati, da recapitare al destinatario.
Non meno importante è la memorizzazione dei dati su supporti rimovibili: per qualsivoglia motivo un dipendente potrebbe effettuare una copia del proprio lavoro su PenDrive. Anche questi dispositivi memorizzano, di default, i dati in chiaro. Pertanto, in caso di smarrimento, chiunque ritrovi il supporto di memorizzazione, ha modo di leggere e condividere dati probabilmente riservati.
La riservatezza dei dati nel cloud
Ultimo ma non meno importante è l’utilizzo del Cloud. Molti provider offrono enormi quantità di spazio nel quale poter memorizzare i propri dati, in maniera del tutto gratuita.
Non tutti sanno, però, che alcuni di essi non garantiscono né il pieno anonimato né la piena riservatezza di tali dati[1].
La soluzione: usare meccanismi di crittografia
Per risolvere gli inconvenienti descritti, la prima semplice soluzione consiste nell’utilizzare meccanismi di crittografia.
Abilitare la funzionalità Bitlocker, presente su ogni PC con a bordo Microsoft Windows 7 o superiore, scongiura qualsiasi possibilità di esfiltrazione fisica dei dati.
Fare la stessa cosa su dispositivi removibili, diminuisce drasticamente la probabilità di lettura in caso di perdita[2]. Se non si desiderasse utilizzare la soluzione Microsoft, vi sono ulteriori software atti a tale scopo: un esempio open source è Veracrypt.
Per quanto riguarda l’utilizzo del cloud sarebbe opinabile caricare nello storage virtuale solo documenti pubblici o non importanti. In caso contrario, l’ideale sarebbe produrre archivi protetti o utilizzare soluzioni software quali BoxCryptor.
Per quanto riguarda l’utilizzo delle email, valgono le stesse linee guida esposte per l’utilizzo dei servizi cloud: utilizzare archivi protetti da password o link a documenti cloud, ma con gli accorgimenti precedentemente descritti.
Un ultimo metodo per scambiare file in maniera sicura consiste nell’utilizzo di OpenPGP. Con esso è possibile memorizzare file e scambiare email in maniera sicura tramite il plugin GpgOL di Microsoft Outlook. L’unico inconveniente è che essendo una crittografia asimmetrica, ogni parte in causa deve generare la propria coppia di chiavi, quindi vi è necessita di stabilire a priori un’architettura di comunicazione.
Sicurezza dei dati PA, l’importanza della formazione
Per quanto è stato esposto, vi sono molteplici procedimenti per rendere sicura la memorizzazione e lo scambio di dati all’interno di una PA.
Nonostante ciò, il primo passo per implementare un meccanismo sicuro ed efficace deve passare per la formazione dell’utenza.
Fondamentali sono i corsi di formazione ed il valore dato all’awareness. Quest’ultima è decisamente utile per sensibilizzare il dipendente e renderlo consapevole dei pericoli derivanti da un’errata memorizzazione e manipolazione del dato digitale.
_____________________________________________
- L’esercito americano ha spiato i cittadini e lasciato i dati sul cloud di Amazon ↑
- In entrambi i casi, il Single Point of Failure è solo ed unicamente la robustezza della password impostata. ↑
