41
2.2 I sistemi maggiormente a rischio
L’aumento del numero di sistemi informatici e, soprattutto, l’aumento della loro
importanza nella gestione di attività personali e imprenditoriali, ha determinato il
conseguente aumento di sistemi a rischio e di rischi potenziali.
A tal proposito, Sasse et al., forniscono, nello “Human FactorsWorking Group
White Paper Human Vulnerabilities in Security Systems”, una serie di indicazioni su
quelli che sono i sistemi maggiormente a rischio, ossia, maggiormente vulnerabili
66
.
I Sistemi finanziari, ovvero i sistemi informatici impiegati dalle istituzioni finanziarie,
dalle banche di investimento e dalle banche commerciali; tali sistemi sono ritenuti
obiettivi particolarmente esposti all’attacco di criminali informatici interessati a
manipolare i mercati e ottenere guadagni illeciti.
In questo caso, il canale della vulnerabilità, e dello stesso attacco, può essere
identificato nei siti Web e nelle app che accettano o archiviano numeri di carte di
credito, conti di brokeraggio e informazioni sui conti bancari, poiché consentono un
potenziale guadagno immediato derivante dal trasferimento di denaro, e dagli
acquisti o dalla vendita di informazioni sul mercato nero.
Per lo stesso motivo, presentano forti vulnerabilità anche i sistemi di pagamento
in-store e gli sportelli automatici, a causa, ad esempio, dell’eventuale furto del pin o
del furto di informazioni sul conto bancario; in questo caso soprattutto a soggetti
privati.
66
Ashenden, D., Lawrence, D., Coles-Kemp, L., & Fléchais, I. Human factors working group
white paper, disponibile al link:
https://pdfs.semanticscholar.org/38b4/36a07f78056a82df1e9228b87ca145f09f9c.pdf
42
Come è noto, i gestori di telefonia e delle utenze in generale basano le proprie
attività su computer e sistemi informatici – si pensi alle compagnie di
telecomunicazione, di elettricità, di acqua e gas, o addirittura alle centrali nucleari.
In tali contesti, più che in altri, la rete Internet oltre ad essere un canale di
comunicazione e di connessione, si rivela un potenziale vettore di attacco per i
cosiddetti “contatori intelligenti”
67
.
Un altro esempio si può riscontrare nell’industria aeronautica, le cui attività sono
principalmente basate su sistemi complessi che, come detto, possono essere più
facilmente attaccati. Si pensi a quello che accadrebbe in un aeroporto con la
semplice interruzione di corrente elettrica, la cosa potrebbe, in una situazione
estrema, causare ripercussioni in tutto il mondo; infatti, gran parte del sistema di
gestione aeroportuale si basa su trasmissioni radio che potrebbero essere disturbate,
con chiare conseguenze sulle procedure di controllo di volo.
Un altro esempio relativo al settore dei trasporti si può osservare nell’industria
automobilistica; le automobili, e i veicoli in generale, sono sempre più computerizzati,
dal cronometraggio del motore, al cruise control, ai freni antibloccaggio, alle serrature
delle porte, agli airbag, fino ai più recenti sistemi di assistenza alla guida. Inoltre,
sempre più numerose sono le case automobilistiche che propongono automobili che
possono essere connesse possono attraverso sistemi di Wi-Fi e di Bluetooth al
proprio smartphone.
Per ciò che concerne gli attacchi a questi tipi di sistemi, si possono citare alcuni
semplici casi come i microfoni montati a bordo dell’auto per le intercettazioni, o un
virus canalizzato attraverso un CD dannoso; inoltre, l’eventuale messa in
67
Hooper, E. (2009, November). Intelligent strategies and techniques for effective cyber
security, infrastructure protection and privacy. In Internet Technology and Secured
Transactions, 2009. ICITST 2009. International Conference for (pp. 1-7). IEEE.
43
connessione dei propri dispositivi mobili all’automobile può certamente aumentare il
rischio di minacce o di attacchi.
Con particolare riferimento ai veicoli privati, di recente il Dipartimento dei trasporti
degli Stati Uniti ha annunciato la definizione di alcuni standard di sicurezza iniziali e
ha invitato i governi federali ad elaborare politiche tra loro uniformi.
Ancora in riferimento ai soggetti privati, gli strumenti che possono principalmente
essere oggetto di attacco sono i personal computer e i laptop. Tali strumenti, infatti,
sono comunemente destinati a raccogliere password o informazioni sull'account
bancario, e cioè informazioni che possono essere rubate per fini malevoli.
Probabilmente più vulnerabili si rivelano gli smartphone, i tablet, gli smartwatch e
altri dispositivi mobili che possono essere tracker di attività e hanno sensori come
telecamere, microfoni, ricevitori GPS che potrebbero essere sfruttati per accedere al
sistema
68
.
Anche il crescente numero di dispositivi di automazione domestica, come il
termostato, sono potenziali obiettivi di un attacco.
Certamente più dei soggetti privati, le grandi imprese sono potenziali obiettivi di
attacco, soprattutto al fine di rubare o violare dati appartenenti a clienti, o più in
generale, agli stakeholder di quella società.
Alcuni attacchi informatici sono organizzati e commissionati da governi stranieri,
che intendono avviare una guerra informatica con l'intento di diffondere la loro
propaganda, e di sabotare o spiare le attività delle imprese obiettivo.
68
Cfr., Karakaya, M., Bostan, A., &Gökçay, E. (2016). How Secure is Your Smart
Watch?. International Journal of Information Security Science, 5(4), 90-95; Ricci, J., Baggili,
I., & Breitinger, F. (2018). Watch What You Wear: Smartwatches and Sluggish Security.
In Wearable Technologies: Concepts, Methodologies, Tools, and Applications (pp. 1458-
1478). IGI Global.
44
Si pensi al caso delle elezioni presidenziali americane del 2016 e delle accuse al
governo russo di aver rubato informazioni di utenti Facebook o Twitter al fine di
influenzare i risultati delle elezioni, tuttavia non ci sono prove che tale atto illecito sia
stato effettivamente compiuto
69
.
Un altro esempio si può riscontrare nel furto di cartelle cliniche prese di mira allo
scopo di realizzare frodi assicurative sanitarie e impossessarsi delle identità dei
pazienti per ottenere farmaci per la cui vendita è necessaria la prescrizione, sia per
uso personale, sia allo scopo di rivenderli generando così forme di contrabbando di
farmaci.
È interessante osservare che non sempre gli attacchi hanno come finalità di
carattere economico o finanziario, è il caso, ad esempio, della società di sicurezza
HBGary Federal, che, nel 2011, subito una serie di attacchi da parte del gruppo
Anonymous come rappresaglia contro il CEO dell’azienda
70
. Inoltre, frequenti sono i
casi di attacchi a sistemi informatici governativi e militari da parte di attivisti o da
parte di potenze straniere.
Le infrastrutture locali e regionali, come i sistemi di controllo stradale – si pensi ai
semafori - o come i sistemi amministrativi adottati nelle strutture pubbliche – si pensi
ai registri del personale o ai registri degli studenti nelle scuole – e infine i sistemi
impiegati dalle forze di polizia e dai servizi segreti per conservare informazioni
sensibili sono certamente potenziali obiettivi, proprio perché sempre più
informatizzati.
Nella gestione della vulnerabilità, delle minacce, e degli attacchi, non va trascurata
l’importanza di analizzare l’impatto delle violazioni.
69
http://www.repubblica.it/speciali/esteri/presidenzialiusa2016/2016/11/12/news/trump_presid
ente_social_media-151840155/
70
https://www.tomshw.it/voleva-smascherare-anonymous-hacker-all-attacco-32028
45
Ad oggi, non esiste un modello standard per stimare il costo, o, più in generale, il
danno provocato da un incidente, in quanto gli unici dati disponibili sono quelli resi
pubblici dalle organizzazioni coinvolte: “Several computer security consulting firms
produce estimates of total world widelosses attributable to virus and worm attacks
and to hostile digital acts in general. The 2003 loss estimates by these firms range
from $13 billion (worms and viruses only) to $226 billion”
71
.
("Diverse società di consulenza sulla sicurezza informatica producono stime delle
perdite totali a livello mondiale attribuibili agli attacchi di virus e worm e agli atti
digitali ostili in generale. Le stime di perdita del 2003 vanno da $ 13 miliardi (solo
worm e virus) a $ 226 miliardi").
Tuttavia, stime ragionevoli del costo finanziario delle violazioni della sicurezza
potrebbero aiutare in maniera consistente le imprese a prendere decisioni circa le
misure di sicurezza e, in particolare, a definire il valore dell’investimento necessario
sulla base delle perdite potenziali.
A tal proposito, è interessante citare il modello di Gordon-Loeb che analizza il
livello di investimento ottimale nella sicurezza delle informazioni, secondo il quale
l'importo che una società spende per proteggere le informazioni dovrebbe
rappresentare una piccola percentuale della perdita attesa
72
.
Certamente, al fine di prevenire l’attacco e identificare la minaccia, sarebbe
particolarmente utile conoscere le motivazioni che spingono all’attacco. Ovviamente
71
Cashell, B., Jackson, W. D., Jickling, M., & Webel, B. (2004). The economic impact of
cyber-attacks. Congressional Research Service Documents, CRS RL32331 (Washington
DC), p. 2.
72
Gordon, L. A., Loeb, M. P., Lucyshyn, W., & Zhou, L. (2015). Externalities and the
magnitude of cyber security underinvestment by private sector firms: a modification of the
Gordon-Loeb model. Journal of Information Security, 6(1), 24; cfr., Gordon, L. A., Loeb, M.
P., & Zhou, L. (2016). Investing in cybersecurity: Insights from the Gordon-Loeb
model. Journal of Information Security, 7(02), 49.
46
le motivazioni che stanno dietro un attacco informatico possono avere varia natura;
oltre alle più ovvie finalità economiche e finanziarie, non rari sono i casi di attacchi
perpetuati da attivisti o da soggetti che agiscono per vandalismo o divertimento.
Così come capita per le motivazioni che determinano l’attacco, anche le
precauzioni da adottare devono avere caratteristiche differenti; un personal computer
domestico, una banca, o un sistema informatico militare sono soggetti a minacce e
ad attacchi molto diverse, nonostante le tecnologie di base in uso sono simili, è
dunque necessario prevedere procedure di riabilitazione che siano adeguate alla
situazione.
2.3 La cyber security nei social network
I social network sono oggi uno dei “luoghi” in cui è più comune “incontrare” amici,
familiari e condividere pensieri, foto, video e altre informazioni.
Proprio per la facilità con cui è possibile venire in possesso di dati e informazioni
personali, i social network sono diventati piattaforme dove i criminali informatici
possono agire più o meno liberamente. La condivisione di informazioni e dati è
diventata una pratica comune dall’introduzione dei social network, gli utenti, senza
l’inibizione che può essere determinata dall’interazione faccia a faccia, sono più
propensi ad aprirsi e a condividere pensieri e informazioni, ovviamente la cosa va a
intaccare la privacy dell’individuo, che si pone, seppur in maniera involontaria, a
rischio di eventuali attacchi informatici, “Un dato digitale è fatto apposta per essere
duplicato facilmente: una volta arrivato su un dispositivo che è al di fuori del nostro
controllo non ha alcuna garanzia di cancellazione. I bit son fatti così, e non c’è
47
promessa di venditore che tenga”
73
. Infatti, nella maggior parte dei casi, gli utenti non
sono consapevoli dei rischi legati alla privacy quando condividono le loro
informazioni personali sui siti dei social network: “Alcune ricerche hanno dimostrato
che i chatters online sono più propensi a rivelare dei dettagli privati della propria vita
piuttosto che durante un'amichevole chiacchierata con un confidente. Questo
comportamento è descritto come deindividuation, ossia azzeramento dell'identità
della persona (identity destruction), cui segue la ricostruzione di una nuova identità,
quella virtuale”
74
.
Si aggiunga che le impostazioni predefinite di queste piattaforme contemplano la
condivisione di tutte le informazioni pubblicate, l’utente è tenuto, dunque, a
preoccuparsi di modificare le impostazioni relative alla condivisione e alla privacy al
fine di rendere più sicuri i propri account.
Le invasioni della privacy in rete possono essere realizzate sia da parte di hacker,
o, più in generale di soggetti malevoli, sia da parte di utenti aventi il mero scopo
conoscere informazioni private degli altri utenti senza finalità malevoli.
La scarsa consapevolezza degli utenti in maniera di sicurezza informatica e, ancor
di più, di invasione della privacy a fini più o meno malevoli, è la causa principale degli
attacchi informatici. A tal proposito, diversi studi sono stati condotti per esaminare
l’approccio degli utenti nell’utilizzo dei Social network; tra questi, particolarmente
interessante lo studio di Jabee e Alam (2016)
75
che si sono occupati di analizzare e
interpretare le opinioni e i comportamenti di un campione di utenti Facebook, con lo
scopo di identificare quali sono le vulnerabilità legate alla privacy e quali potrebbero
73
https://www.agendadigitale.eu/cultura-digitale/privacy-puo-esistere-davvero/
74
http://www.ilsole24ore.com/art/tecnologie/2017-11-20/cybersecurity-cosa-sappiamo-chi-
odia-dentro-social-network-090837.shtml?uuid=AE2j9nED&refresh_ce=1
75
Jabee, R., & Alam, M. A. (2016). Issues and Challenges of Cyber Security for Social
networking Sites (Facebook). International Journal of Computer Applications, 144(3).
48
essere le modalità per frenare i crimini legati all’invasione della privacy e alla
violazione dell'identità sui siti di social networking, oltre a fornire suggerimenti utili
alla riconfigurazione dei sistemi di sicurezza degli stessi social network.
I risultati dello studio hanno mostrato che il 77,05% degli utenti intervistati è
soddisfatto delle impostazioni di sicurezza predefinite, ma che tuttavia ritiene
necessario un miglioramento delle impostazioni di sicurezza. A tal proposito, lo
studio mostra che il 49% degli utenti si fida delle impostazioni di sicurezza di
Facebook e che il 24% degli utenti ha ancora riscontrato forme di violazione della
privacy. Ciò che veramente preoccupa rispetto a quanto emerso da questo studio è
che molti utenti non sono concretamente a conoscenza delle impostazioni sulla
privacy, limitandosi a utilizzare l'impostazione predefinita
76
.
Secondo un altro interessante studio condotto sul tema, e presentato in occasione
del SXSW Conference & Festivals del marzo 2018, nei prossimi anni potrebbe
manifestarsi la situazione opposta, e cioè l’abbandono di massa dei social network a
causa della presa di consapevolezza da parte degli utenti dei rischi legati alla
navigazione in rete non protetta. A tal proposito, su un articolo pubblicato dal sito
dell’Agenda Digitale, si afferma che già dal 2013 sono stati proposti sul mercato
nuovi social network che puntano sulla non-memorizzazione delle tracce digitali,
tuttavia il loro successo non è ancora comparabile con quello riscontrato dai social
network più comuni
77
.
76
Jabee, R., &Alam, M. A. (2016). Issues and Challenges of Cyber Security for Social
networking Sites (Facebook). International Journal of Computer Applications, 144(3).
77
https://www.agendadigitale.eu/cultura-digitale/privacy-puo-esistere-davvero/
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
