Fondamenti di sicurezza informatica

Fondamenti di sicurezza informatica
Condividi su:

Anche in informatica possono avvenire i crimini, che non mettono in pericolo la salute delle persone ma possono arrecare altri tipi di danno ai dispositivi e/o al loro contenuto.

Di seguito elenchiamo alcune delle ripercussioni più comuni in questi casi:

  • Perdita dei dati;
  • Compromissione del dispositivo fino a renderlo inutilizzabile;
  • Furto di informazioni personali;
  • Furto di informazioni lavorative;
  • Furto di identità;
  • Furto di denaro;
  • Truffe (Tali crimini possono avvenire online oppure offline quindi sia con che senza il collegamento alla rete internet pubblica).

La maggior parte dei casi di infezione del dispositivo avviene durante l’uso fintanto che quest’ultimo è connesso alla rete internet, ad esempio accedendo a siti non sicuri, installando programmi di dubbia provenienza oppure anche aprendo allegati alle e-mail che possono contenere virus.

Fintanto che si è connessi alla rete pubblica bisogna quindi sempre prestare molta attenzione.

Elenchiamo di seguito le principali forme di infezione e vulnerabilità dei dispositivi informatici, l’applicazione di una di queste non preclude l’avvenire di altre, pertanto queste possono lavorare da sole o in combinazione tra loro:

  • Trojan horse: software che oltre ad avere delle funzionalità “lecite”, utili per indurre l’utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all’insaputa dell’utilizzatore;
  • Backdoor: letteralmente “porta sul retro”. Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione;
  • Rootkit: programmi che non sono dannosi in sé, ma hanno la funzione di nascondere la presenza di particolari file o impostazioni del sistema e vengono utilizzati per mascherare spyware e trojan.
  • Virus: sono parti di codice che si diffondono copiandosi all’interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti;
  • Worm: programmi che non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose;
  • Adware: software che presentano all’utente messaggi pubblicitari durante l’uso. Possono causare danni quali rallentamenti del pc e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto;
  • Spyware: un software che viene usato per raccogliere informazioni (abitudini di navigazione, ma anche password) per trasmettere queste ultime ad un destinatario interessato;
  • Keylogger: sono programmi in grado di registrare tutto ciò che viene digitato sulla tastiera consentendo il furto di password o informazioni di pagamento;
  • Dialer: sono programmi che modificano, quando ci si connette con la normale linea telefonica, il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale allo scopo di trarne illecito profitto all’insaputa dell’utente.

Non è però soltanto alla rete pubblica che bisogna prestare attenzione.

Il fatto di non connettere il proprio dispositivo alla rete internet non lo protegge totalmente da questo genere di problemi, infatti bisogna sempre prestare attenzione a chi ha accesso alle prossimità dei nostri dispositivi.

Un malintenzionato può causare il verificarsi di questi casi anche se il dispositivo è offline.

Infatti il criminale interessato a violare il dispositivo della vittima potrebbe infettarlo con un software malevolo (denominato “malware”), anche tramite dispositivi di archiviazione come semplici pen-drive (comunemente dette “chiavette”) collegabili via USB o altrimenti anche accedendo alla rete locale con la vostra password del wifi.

Il malware, una volta arrivato sul dispositivo, si auto-installa nel dispositivo senza palesarsi ed esegue diverse azioni nascoste all’utente, spesso con differenti scopi:

  • Tenta di rubare i dati delle carte di credito o di accesso all’internet banking per poter effettuare un furto;
  • Registra video o audio del computer, compromettendo la privacy della persona e chiedendo in cambio un riscatto alla vittima o vendendo queste informazioni a terzi malintenzionati;
  • Esegue una criptazione dei dati del dispositivo o di tutti i dispositivi di una struttura (accedendo alla rete locale dei dispositivi), rendendoli così inaccessibili a tutti tranne che al criminale che ha creato il programma malevolo, che chiederà in seguito un riscatto alla vittima per ottenere nuovamente l’accesso ai dati (attacco tipico dei programmi denominati “ransomware”);
  • Tenta il furto dei dati online per poter rivendere questi dati a terzi o poter effettuare un attacco diretto alla vittima.

La massima attenzione durante la navigazione online va posta anche nei confronti degli annunci o delle comunicazioni che si ricevono, perchè alcune volte possono nascondere truffe ai danni degli utenti connessi.

Per quanto riguarda le truffe online, le più diffuse prevedono:

  • Una comunicazione (Email o SMS più comunemente) che, simulando la provenienza da un mittente autorevole (un amico, un’istituzione o un’azienda famosa), ci richiede dei dati di accesso (username e password), i dati delle carte di credito o le informazioni personali. Questo tipo di attacco, molto comune al giorno d’oggi, viene denominato phishing (letteralmente “pescare” nel senso di far abboccare la vittima);
  • Un acquisto di prodotti o servizi fasulla, in cui la vittima, dopo aver pagato con carta di credito, non riceve nulla o un prodotto non corrispondente a quello richiesto. Talvolta questa truffa serve a rubare i dati della carta di credito per derubare il denaro in un secondo momento;
  • “Siti-trappola” che vengono creati come cloni di quelli originali (denominato “Pharming”), così facendo raccolgono utenti che credono di navigare su di un sito che conoscono e inseriscono i propri dati di accesso, o dati di pagamento. A quel punto il sito normalmente andrà in errore interrompendo la navigazione poiché avrà comunque già raggiunto il suo scopo, ovvero rubare informazioni sensibili.

In particolare la distinzione tra il furto di denaro e le truffe è che mentre nel primo caso il criminale accede ai fondi senza che la vittima ne sia consapevole, nel secondo è proprio la vittima che consapevolmente versa il proprio denaro al criminale, dopo essere stato raggirato sulla natura del prodotto o servizio che intendeva acquistare.

PREVENZIONE: CONSIGLI PRATICI

Per evitare di cadere in queste trappole, la prima difesa che ognuno di noi dovrebbe avere è il buon senso e un utilizzo cauto dei sistemi informatici.

Attualmente la maggior parte dei malware arriva a noi tramite la posta elettronica, pertanto bisogna sempre:

  • Prestare la massima attenzione nell’apertura degli allegati: devono arrivare solo da mittenti a noi noti e, anche nel caso provenissero da questi, devono essere comunicazioni che già sapevamo che sarebbero arrivate. Nei casi dubbi, prima di aprire un allegato, può essere una buona pratica contattare il mittente e chiedere conferma se la mail sia stata inviata di sua iniziativa;
  • Non aprire i collegamenti nelle email che provengono da mittenti sconosciuti. Le email che arrivano da mittenti a noi sconosciuti ma non contengono nè collegamenti nè allegati, nella maggior parte dei casi non sono pericolose.

Per quanto riguarda gli acquisti online converrebbe:

  • Affidarsi a siti già noti o famosi;
  • Essere sicuri di visitare il sito cercato leggendo il nome nella barra dell’indirizzo del vostro browser (diffidare di nomi simili ma non uguali, come ad esempio amazn.com o goggle.com);
  • Nel dubbio, verificare che il sito sia affidabile tramite le recensioni online (ad esempio verificandone l’affidabilità su database pubblici come https://it.trustpilot.com/);
  • Nel caso di un sito poco conosciuto, utilizzare metodi di pagamento sicuro come PayPal (che permette di avere un pagamento tracciato e tutelato da un intermediario, ovvero in caso di mancata ricezione della merce potremo ottenere un rimborso dell’intero importo da Paypal stesso).

LA PASSWORD

Per accedere ad un servizio online al momento della registrazione ci vengono solitamente richiesti username, email e password. Per molti siti username ed email coincidono.

Da svariate ricerche è emerso che la maggior parte delle persone utilizza la stessa mail e la stessa password, oppure una singola password leggermente modificata, per tanti siti diversi.

Da questo tipo di pratica nasce un grande problema: tutte queste persone sono esposte ad attacchi senza esserne consapevoli.

Il rischio elevato del verificarsi di questi casi è dato dal fatto che di tanto in tanto, non solo i piccoli ma anche grandi siti potrebbero aver subito dei data breach (ovvero una perdita di dati) che il più delle volte includono email, password, dati personali e fiscali dei loro utenti.

Quindi molti criminali, dopo aver ottenuto questi dati, provano ad ottenerne una remunerazione economica usando le stesse credenziali di un utente su molti siti fino a quando non riescono ad effettuare un furto di dati o di denaro.

Per verificare se la propria e-mail è mai stata inclusa negli elenchi a cui hanno avuto accesso questi criminali, è possibile verificare su https://haveibeenpwned.com/

È possibile prevenire questo tipo di rischio significativamente, seguendo queste avvertenze:

  1. Usare password diverse e dissimili tra loro per tutti i siti, meglio ancora se generate casualmente;
  2. Le password dovrebbero essere lunghe almeno 8 caratteri e contenere simboli, lettere maiuscole e minuscole, e numeri;
  3. Per semplificare la memorizzazione e l’utilizzo delle password, è possibile usare dei programmi noti come Password Manager (ad esempio LastPass, 1Password, Keeper, Dashlane, ecc).

In ogni caso è sempre utile che le proprie credenziali di accesso siano il proprio principale sistema di riconoscimento e devono sempre essere conservate con la massima cautela, non è quindi il caso di conservarle in posti a cui potrebbero accedere altre persone e non andrebbero mai condivise con nessuno.

LA SICUREZZA DEI DATI

Per lo studio odontoiatrico i dati dei pazienti oltre ad essere estremamente sensibili sono fondamentali allo svolgimento della professione medica, ed è anche per questo cruciale che non vadano mai persi e/o corrotti.

Questo principio di buon senso è ribadito più volte all’interno delle norme del GDPR (General Data Protection and Regulation) ovvero la nuova normativa per la privacy entrata in vigore nel 2018 in Italia.

I dati sono a rischio sia che siano in formato analogico (cartaceo) o digitale.

Per esempio, in caso di incendio nello studio rischieremmo di perdere tutte le cartelle cartacee e le lastre in acetato dei pazienti.

Allo stesso modo, qualora si rompesse un hard disk nel quale abbiamo raccolto tutte le copie dei dati dei pazienti, da un momento all’altro ci troveremmo senza la possibilità di utilizzarli.

Essendo questo argomento dedicato all’informatica, ci dedicheremo esclusivamente alla salvaguardia dei dati digitali.

La prima regola per la protezione dei dati è avere delle copie di backup, ovvero copie ausiliarie dei dati che ci proteggano principalmente dai guasti tecnici.

Qualora infatti si dovesse rompere un hard disk in cui abbiamo salvato i dati, dovremo averne uno aggiuntivo aggiornato fino all’ultimo momento così da poterlo utilizzare per continuare la nostra attività clinica con i dati dei pazienti.

Spesso e volentieri i dati non sono salvati su un singolo hard disk o dispositivo, ma su dispositivi denominati NAS, ovvero dispositivi server (dispositivi simili a computer che elaborano e gestiscono i dati all’interno di una rete) collegati ad una rete locale.

Talvolta, una parte dei dati può essere salvata in cloud (ovvero su dei server su internet e non fisicamente presenti nel nostro studio).

Dopo aver parlato della protezione dei dati da rottura dell’hardware, è necessario parlare di un altro tipo di protezione: quello dagli accessi indesiderati.

Elenchiamo i principali metodi per prevenire gli accessi non previsti, o comunque non desiderati:

  1. Per prevenire l’accesso da remoto (online) da malintenzionati, è obbligatorio l’utilizzo di un firewall che blocca gli accessi non consentiti. Il firewall può essere sia un software, sia un hardware, sia una combinazione di entrambi;
  2. Per prevenire gli attacchi con malware, sarà necessario l’utilizzo di antivirus, che hanno lo scopo di prevenire l’installazione di malware o, nel caso sia riuscito in ogni caso ad installarsi, di eliminarlo il più rapidamente possibile in modo che non possa essere arrecato nessun danno;
  3. Qualora una persona riesca fisicamente ad accedere ad uno dei nostri computer, sarà necessaria la protezione con password del computer per poterlo accendere ed utilizzare;
  4. Se un malintenzionato riuscisse ad evitare tutte queste difese, per rendere illeggibili i dati alle persone esterne si ricorre alla crittografia dei dati. La crittografia è la base della protezione dei dati ed è il modo più semplice e importante per garantire che le informazioni di un sistema informatico non possano essere rubate e lette da qualcuno che voglia utilizzarle per scopi malevoli. Le informazioni vengono cifrate mediante un algoritmo e possono essere decodificate (rese leggibili) alla destinazione solo con la password (chiave) appropriata. La chiave può essere memorizzata nel sistema ricevente oppure trasmessa insieme ai dati criptati.

Visto l’excursus fatto alla luce di ciò che abbiamo affrontato è consigliato seguire i seguenti consigli pratici:

  1. non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione esplicita dell’amministratore di sistema, in quanto sussiste il grave pericolo di portare virus e di creare rischi seri per la sicurezza informatica.
  2. non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dal responsabile dei sistemi informatici. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti del sistema per incompatibilità con il software esistente, può esporre a gravi responsabilità civili ed anche penali in caso di violazione della normativa a tutela dei diritti d’autore sul software.
  3. non è consentito modificare le caratteristiche impostate sul proprio PC, salvo previa autorizzazione esplicita dell’amministratore di sistema. Il personal computer, inoltre, deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio.
  4. non è consentita l’installazione sul proprio PC di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, ecc…), se non con l’autorizzazione espressa dell’amministratore di sistema. A tal proposito sarebbe altamente consigliato impedire la possibilità per i dipendenti/incaricati di poter salvare i dati e portarli all’esterno bloccando, per esempio, gli accessi alle usb o adottando procedure analoghe.
  5. l’accesso agli strumenti è protetto da password, per l’accesso devono essere utilizzati Username e password assegnate dall’Amministratore di Sistema. A tal proposito si rammenta che essi sono strettamente personali e si è tenuti a conservarli nella massima segretezza. Certamente non con post-it attaccati al PC.
  6. Occorre sapere che i log (gli accessi) relativi all’utilizzo di strumenti, reperibili nella memoria degli Strumenti stessi ovvero sui server o sui router, nonché i file con essi trattati sono registrati e possono essere oggetto di controllo da parte del titolare, attraverso l’amministratore di sistema.
  7. L’iscrizione a mailing-list o newsletter esterne è concessa esclusivamente per motivi professionali. Prima di iscriversi occorre verificare anticipatamente l’affidabilità del sito che offre il servizio.
  8. L’utilizzo dell’e-mail deve essere limitato esclusivamente per scopi lavorativi, ed è assolutamente vietato ogni utilizzo di tipo privato.
  9. È buona norma evitare messaggi completamente estranei al rapporto di lavoro. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.
  10. È vietato inviare catene telematiche (dette di Sant’Antonio). Se si ricevono messaggi di tale tipo, occorre comunicarlo tempestivamente all’amministratore di sistema. Non si devono in alcun caso attivare gli allegati di tali messaggi.
  11. È fatto divieto di utilizzare la caselle di posta elettronica di studio per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mailing-list salvo diversa ed esplicita autorizzazione.
  12. È obbligatorio controllare i file allegati di posta elettronica prima del loro utilizzo. In particolare, si deve evitare, secondo le regole di buona diligenza, l’apertura e la lettura di messaggi di posta elettronica in arrivo provenienti da mittenti di cui non si conosce con certezza l’identità o che contengano allegati del tipo .exe, .com, .vbs, .htm, .scr, .bat, .js, .pif.