Falle nei microchip: come proteggersi dalla minaccia cibernetica

Il nuovo anno è iniziato con una clamorosa notizia dell’esistenza di bug riscontrati sui microchip esponendo gli utenti a rischio di furto di password e altri dati.

Come è noto il nuovo anno è iniziato davvero con il botto a seguito della clamorosa notizia dell’esistenza di bug riscontrati sui microchip, scoperti da un team di Google e da ricercatori di molte altri enti fra cui il Politecnico di Graz e gli atenei della Pennsylvania e del Maryland, che a quanto pare comporta conseguenze per tutti i computer degli ultimi 10 anni (compresi i Mac) senza fare alcuna eccezione. Intel, Amd e Arm si sono ritrovati alle prese con un problema del tutto imprevisto che investe in particolare l’architettura dei chip cioè il modo in cui i milioni di transistor e le unità logiche lavorano insieme per elaborare le istruzioni.

Non sono ancora note quali saranno le effettive conseguenze di questa falla in termini operativi e cioè di perdita dei dati, ma indubbiamente c’è qualche viva preoccupazione su ciò che potrà accadere alla ripresa delle attività lavorative specialmente dei Ministeri dopo le feste natalizie in considerazione del fatto che da sempre il parco informatico degli enti pubblici non è molto aggiornato. Ma preoccupano anche le aziende private, le reti idriche ed elettriche, quelle ferroviarie, gli ospedali, le banche e tutte quelle realtà che trattano dati sensibili.

Intanto si è subito corso ai ripari e nell’immediato è stato individuato un codice antidoto che dovrebbe risolvere il problema insieme ai necessari aggiornamenti di protezione rilasciati dai produttori coinvolti.

Ancora una volta questo ennesimo incidente pone l’attenzione sulla grande rilevanza che oggi come oggi assume il concetto di sicurezza informatica che ha assunto un significato più attuale alla luce proprio dei sempre più numerosi attacchi ed incidenti di natura informatica che lasciano intuire una preoccupante tendenza alla crescita di tale fenomeno. In particolare negli ultimi tempi si è assistito ad una rapida evoluzione della minaccia che possiamo definire “cibernetica” che è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.

I pericoli legati a questo genere di minaccia sono particolarmente gravi per due ordini di motivi:

Il primo è la quantità di risorse che gli attaccanti possono mettere in campo, che si riflette sulla sofisticazione delle strategie e degli strumenti utilizzati.

Il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti.

La combinazione di questi due fattori fa sì che, a prescindere dalle misure minime di sicurezza previste dal nostro codice in materia di protezione dei dati personali, (antivirus, firewall, difesa perimetrale, ecc.) bisogna fare particolare attenzione alle attività degli stessi utenti che devono rimanere sempre all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.

Difatti, proprio i primi accertamenti tecnici confermano che la falla individuata consente di penetrare nella memoria dei sistemi informatici anche agendo da «remoto», quindi con intrusioni esterne che inoculando i virus rubano anche quelle informazioni che si ritenevano adeguatamente protette e quindi impossibili da utilizzare in maniera illecita.

Naturalmente le misure preventive, destinate ad impedire il successo dell’attacco, devono essere affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte.

In tale quadro di protezione diventa fondamentale l’analisi delle vulnerabilità del sistema informatico.

In primo luogo le vulnerabilità sono l’elemento essenziale per la scalata ai privilegi che è condizione determinante per il successo dell’attacco; pertanto la loro eliminazione è la misura di prevenzione più efficace.

Pertanto nell’ottica del legislatore comunitario per sicurezza delle reti e dell’informazione bisogna intendere la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza.

L’art. 32 del GDPR a proposito della sicurezza del trattamento affronta tale specifica tematica sancendo che tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;

d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

In particolare, quindi, assume rilevanza la pseudonimizzazione intesa come un particolare trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Inoltre per la prima volta si parla di resilienza dei sistemi informatici intesa come la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati.

Notevole rilevanza viene attribuita dal legislatore comunitario anche al disaster recovery, per cui diventa fondamentale predisporre uno specifico piano con il quale si intende fornire servizi volti all’analisi dei rischi di inoperatività del sistema EDP (informatico) e delle misure da adottare per ridurli, nonché la messa a punto del vero e proprio piano di emergenza informatica, che ricomprende, in particolare, procedure per l’impiego provvisorio di un centro di elaborazione dati alternativo o comunque l’utilizzo di macchine di soccorso da utilizzare in attesa della riattivazione.

Fonte: Altalex.com | di Michele Iaselli

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL