Il Governo comprende ora, dopo il nuovo scandalo dossieraggi in cui sono stati spiati circa 800mila italiani, tra cui le alte cariche dello Stato, di adottare la crittografia avanzata per proteggere i dati nei data base? La crittografia si spiega facilmente, i dati cifrati sono inutilizzabili, come fossero banconote contrassegnate da inchiostro indelebile dunque non accettabili e spendibili.
Il dato va protetto prima. Quando è nella ‘cassaforte’. Quando è nei data base, quando è nel cloud.
In queste ore in cui è esploso un nuovo scandalo dossieraggio, dal quale sta emergendo che circa 800mila italiani, tra cui le alte cariche dello Stato, sono stati spiati da una banda di cybercriminali con la collaborazione di alcuni pubblici ufficiali infedeli, c’è chi riferisce della necessità di introdurre un nuovo sistema alert più efficace e puntuale con una task force già operativa al Viminale. Un sistema, viene spiegato, teso a stanare non tanto gli hacker quanto piuttosto gli ‘infedeli’, ovvero coloro che hanno diritto di accesso al sistema – agenti, funzionari di Tribunali, privati che hanno vinto appalti per poter entrare in possesso di dati – ma usano le loro credenziali in modo indebito e criminoso.
Una soluzione da implementare subito. Ma perché ancora assente?
Ma non sarà sufficiente bloccare solo i pubblici ufficiali infedeli
Proteggere i dati nella ‘cassaforte’ con la crittografia avanzata
Perché il rischio zero non esiste e i cyber criminali possono arrivare sempre nella cassaforte, bucando il perimetro aziendale o della PA, e rubare i dati. Occorre proteggere i dati dentro la cassaforte, all’interno dei data base, dentro al cloud, ed è possibile farlo con la crittografia avanzata: quindi aggiungendo un ulteriore livello di protezione del dato.
Se si usa la crittografia, in caso di esflitrazione, i dati non possono essere leggibili, se non si è in possesso della chiave di decifratura (che si ottiene solo dopo aver superato diversi livelli di autenticazione). La crittografia converte messaggi, e-mail, immagini, praticamente qualsiasi forma di dati in testo cifrato criptato e illeggibile da persone non autorizzate.
Lo stesso GDPR indica la crittografia come strumento adeguato a mitigare il rischio e la NIS2 cita espessamente la “Crittografia Avanzata”, lasciando di fatto ai singoli Paesi Ue la libera interpretazione della parola chiave “avanzata”, nella speranza che gli Stati membri si adeguino rapidamente e, secondo le linee guida definite dalla direttiva, applicando le migliori pratiche per una corretta postura sulla cybersicurezza.
I vantaggi della crittografia avanzata
E, poi, con la crittografia non viene violata la confidenzialità (riservatezza) e l’integrità dei dati. L’attacco informatico può causare l’indisponibilità dei dati, ma con il backup il problema non si pone.
Con la crittografia avanzata il dato è sempre protetto: questa innovativa soluzione tecnologica consente di effettuare operazioni aritmetiche e di ricerca sui dati criptati, senza vederli in chiaro e senza compromissioni del data base.
Di fatti la crittografia avanzata, in particolare, quella omomorfica, garantisce la protezione dei dati in ogni fase:
- “a riposo”: memorizzati su un disco rigido
- “in movimento”: trasmessi attraverso una rete
- o “in uso”: nella memoria del computer
Tanti i vantaggi, quindi, della crittografia dei dati.
Ma allora perché Pubbliche amministrazioni, ministeri, enti, aziende e PMI non utilizzano di default la crittografia dei dati? Perché non sono obbligati a farlo. C’è un vuoto normativo sull’obbligo della crittografia dei dati. Non c’è ancora una norma specifica sulla cifratura delle informazioni. Manca un quadro normativo armonizzato.
“Come DataKrypto, ci chiediamo da qualche tempo, come mai soluzioni di crittografia omomorfica già disponibili, completamente sviluppate in Italia, da italiani, e pronte all’uso, non vengano prese in considerazione dagli organi dello Stato preposti a valutare le migliori soluzioni per proteggere i dati critici e strategici del nostro Paese?” si chiede, attraverso Cybersecurity Italia, Alessandro D’Alesio, ceo di DataKrypto. “Continuiamo a non capire perché, la creazione di un polo nazionale di aziende italiane che sviluppano prodotti e tecnologie per la sicurezza dei dati e la protezione delle infrastrutture, non sia ancora operativo, come peraltro attivi in tanti paesi europei. Capiamo la difficoltà di istituire una struttura così importante, ma le sfide che ci appaiano all’orizzonte sono assolutamente preoccupanti. Avere la consapevolezza che il paese possa garantirsi con le proprie aziende la sicurezza delle infrastrutture e dei dati strategici , crediamo, che sia un segnale importante nei confronti di tutti quelli che pensano che sia possibile esfiltrare i dati di un paese importante come l’Italia..
“Proteggere il perimetro”, ha aggiunto, “è assolutamente necessario, ma ‘occhio ai data base’ e ai relativi livelli di permission e authentication rilasciati al personale interno ed esterno di aziende e pubbliche istituzioni, perché si corre l’evidente rischio di avere un gran numero di utenti troppo vicini al dato, anche quando non dovrebbero esserlo”.
English (US)