INTERVIEW:
Answer 1
Cos'è il SicurForum, come opera e quali sono i suoi obiettivi?
Question
SicurForum è un'iniziativa permanente nell'ambito del forum delle
tecnologie dell'informazione e ha come obiettivo quello di promuovere
e diffondere la cultura, la sensibilizzazione e tutto il background
tecnologico che è in forte evoluzione, riguardo alla sicurezza dei
sistemi informativi e delle telecomunicazioni. Con l'acronimo ICT,
Information and Communication Technology, indichiamo questo insieme;
non solo quindi informatica ma anche telecomunicazioni, la convergenza
di entrambi. Questa promozione avviene attraverso vari canali,
dall'effettuazione di convegni, seminari, gruppi di lavoro e
approfondimento, alle proposte di leggi o di decreti verso l'autorità
governativa. SicurForum si propone di essere un punto di riferimento e
di coagulo per le informazioni relative alla sicurezza e all'avvento
di crimini ICT collaborando anche con altri enti e istituzioni che,
magari in termini più settoriali rispetto a quello che fa Sicurforum,
operano in questi settori. Proprio in questa ottica abbiamo promosso
l'osservatorio permanente sulla criminalità ICT in Italia che opera
su due livelli diversi: da un lato, con una analisi diretta da parte
di FTI SicurForum, con una indagine, in primis presso i propri soci e
altri enti importanti, sul fenomeno criminalità ICT e, dall'altro,
completandolo con altre analisi sia nazionali che internazionali che
altri istituti compiono nel settore.
Answer 2
Come vengono ottenuti i dati per questo osservatorio?
Question
Abbiamo predisposto un questionario, per la prima fase relativa
all'indagine diretta su un campione di 200 aziende ed enti anche
pubblici segmentati proporzionalmente secondo i profili di spesa ICT
nel 1998 e secondo i dati Assinforma; è stato inviato un questionario
in maniera elettronica e dopo la risposta è stato fatto un "follow
up" anche telefonico per i chiarimenti di questo questionario. A
fianco di questo intervento, si sono raccolte un insieme di
informazioni che fanno altri enti di ricerca, di analisi di mercato e
di monitoraggio sistematico e continuo.
Answer
3
Quali sono le diverse tipologie di crimine informatico?
Question
Io non sono un legale, sono uomo d'azienda e opero nei sistemi
informativi, quindi non voglio entrare in disquisizioni accademiche di
definizione. Abbiamo dato una definizione operativa come crimine ICT
intendendo il fenomeno criminale commesso per mezzo o ai danni dei
sistemi ICT. Lo strumento ICT può servire sia per compiere dei reati
tradizionali su Internet ad esempio, oppure invece crimini compiuti
con mezzi informatici sui sistemi informativi o sul bene principale
dei sistemi informativi, che è l'informazione stessa che essi
gestiscono e manipolano. Con questa definizione copriamo uno spettro
molto ampio. Ci siamo focalizzati per il rapporto 1999 solo sul
fenomeno criminale commesso ai danni dei sistemi ICT. Teniamo conto
che questo fenomeno è in larghissima crescita per la diffusione e la
pervasività, dei sistemi informativi e del loro utilizzo a qualsiasi
livello e noi vediamo solo la punta dell'iceberg. Un aspetto molto
importante è che l'adozione della logica di Internet, quindi della
logica 'webcentrica' e 'netcentrica' dei sistemi moderni, si basa su
degli standard comuni, su dei protocolli standard di comunicazione di
cui si ha una conoscenza diffusa. Quindi sono numerosi anche i
conoscitori di questi strumenti e di conseguenza i potenziali
attaccanti dei sistemi informativi. Il fenomeno Internet, che è un
fenomeno globale, ha portato questo problema a livello mondiale. Uno
dei dati più importanti che scaturiscono dall'osservatorio '99,
definito OCI, Osservatorio Criminalità ICT in Italia, è quello che
gli attacchi maggiori sui sistemi informativi soprattutto in
prospettiva saranno portati sempre più da persone esterne all'azienda
o all'ente che gestisce questi sistemi mentre, fino a poco tempo fa,
normalmente l'attacco era dovuto a persone interne o comunque che
beneficiavano della complicità di persone interne e che quindi
conoscevano l'ambiente sistemistico e applicativo.
Answer
4
Possiamo vedere più nel dettaglio alcune di queste tipologie di
crimine informatico?
Question
Abbiamo creato, come nel questionario inviato ai 200 enti che abbiamo
consultato, una schematizzazione abbastanza semplice delle tipologie
di attacco: l'area dei virus, l'area degli accessi non autorizzati,
settore ripartito a sua volta in accesso non autorizzato alle risorse
e utilizzo non autorizzato dei dati informativi. Infine la terza
tipologia è la modifica non autorizzata dei dati, che ovviamente è
il danno maggiore. Teniamo conto anche che un crimine
sull'informazione è diverso da quello su un bene normale. Quando io
rubo un'informazione non me ne accorgo. Se un altro l'ha letta, io
rimango "proprietario" di quell'informazione, ce l'ho lì,
è anche difficile accorgersi se qualcuno l'ha letta impropriamente.
Questo porta ovviamente a tutto un insieme di complicazioni poi nel
gestire o addirittura nel verificare che c'è stata una violazione sul
bene informativo stesso. Un'altra area importante di tipologia di
attacco è quello della saturazione di risorse, 'denial of service'
come viene chiamata nella terminologia anglosassone, tipicamente
consiste nell' inviare centinaia o migliaia di messaggi in brevissimo
tempo su una casella postale che bloccano di fatto l'utilizzo di
quella macchina o di quel sistema e viene chiamata dagli hacker lo
spamming. Un'ulteriore area è quella del furto dei dispositivi, furto
che ormai è sempre più orientato sui personal computer e questo è
un fenomeno assai significativo. Infine, Un'ampia area di crimine
informatico è quella dell'uso improprio o dell'abuso di risorse,
magari di terzi, in cui in pratica non reco dei danni al sistema
informativo o alle informazioni in esso contenute, ma utilizzo quelle
risorse. E questo è uno dei fenomeni che con Internet si è
maggiormente diffuso come tipologia di attacco, soprattutto in ambiti
universitari.
Answer
5
Ci può dare alcuni dati sulla diffusione di alcuni di questi crimini
informatici in un confronto tra l'Italia e gli altri paesi?
Question
Dall'analisi che abbiamo fatto sui 200 enti intervistati che sono
stati presi percentualmente e proporzionalmente alla spesa di
informatica per segmento industriale, la maggior parte del fenomeno
riscontrato negli ultimi tre anni è stato quello dei virus. A questo
segue con una ripartizione all'incirca, del 10-12%, il fenomeno dei
vari accessi non autorizzati, alla risorsa ICT, alla rete, al dato e
la modifica non autorizzata dei dati. L'insieme di queste percentuali
porta ad una incidenza ancora maggiore come numero di attacchi subiti,
quindi quasi il 50% degli intervistati, rispetto ai virus. Abbiamo poi
una fascia al momento meno significativa percentualmente, intorno
all'8%, sulla saturazione delle risorse. Tipicamente un fenomeno di
spamming o di messaggi stupidi che avvertono che c'è un virus e
quindi tutti se lo rimandano intasando la rete. Però, almeno nella
situazione italiana, non sono significativi. Molto significativo
invece è il furto dei dispositivi. Spesso capita che venga rubato
l'hard disc perché magari contiene delle informazioni riservate.
Ancora più di frequente però avviene il furto puro e semplice, che
io chiamo da ladri di biciclette, del PC o del PC portatile. Questo è
uno dei problemi della maggior parte dei responsabili dei sistemi
informativi nelle aziende italiane.
Answer
6
E quali sono le diverse possibilità di intervento?
Question
Le possibilità di intervento sono molte. Solitamente ci si muove su
due linee: si individua l'area di prevenzione e poi l'area di
identificazione. Accorgersi che qualcuno ha tentato un attacco, vedere
di scoprire che è e cosa vuole e poi applicare le opportune misure.
Quando parliamo di misure di sicurezza ovviamente interveniamo con
tutta una serie di tecniche che sono sia di tipo fisico che di tipo
logico o tecnologico. Il problema è che l'incidenza dell'aspetto
tecnologico è, a mio giudizio, un 20% rispetto all'80% del problema
organizzativo. Io posso utilizzare e mettere in atto la più
sofisticata e moderna tecnica di sicurezza, ma se poi non viene
gestita bene è ovvio che non ha nessuna efficacia. Se, ad esempio,
faccio cambiare ogni settimana la password di accesso in modo che sia
difficile accedere alle risorse, può accadere che tutti gli utenti si
stanchino del continuo cambiamento e applichino un post-it sul video
con la password. Questo è un problema. Un' altro si presenta quando
un utente va a prendere un caffè e lascia lo screensaver senza
password permettendo a qualcuno di entrare e modificare
tranquillamente i suoi programmi. Il problema è proprio creare una
cultura e una sensibilità dell'utente che deve pensare che sempre più
l'utilizzo delle risorse informatiche, delle risorse ICT, è un
fenomeno che può essere attaccato, è sensibile in termini di
sicurezza e quindi va usato 'cum grano salis'. Noi abbiamo poca
cultura in Italia sul fenomeno della sicurezza, spendiamo poco perché
è un aspetto che costa e serve per prevenire cose che forse non
accadranno, quindi è difficile da giustificare nell'ambito di un
consiglio di amministrazione. Ha forti conseguenze organizzative e
spesso e volentieri crea una ridistribuzione del potere tra chi
gestisce, ad esempio, le password, o chi è che gestisce i certificati
delle firme elettroniche. Dobbiamo pensare che finora i meccanismi dei
sistemi di sicurezza sono stati visti come un costo. Per cercare di
farli diventare un investimento occorre dare una valenza di business
alla sicurezza. Come nelle transazioni di electronic business. Questa,
a mio giudizio, è la chiave di volta per portare a un livello
maggiore i sistemi di sicurezza, che in questo momento sono in
generale piuttosto deboli.
Answer
7
Come si differenzia l'attività investigativa in campo informatico da
quella in campo tradizionale?
Question
L'attività investigativa si svolge a due livelli: a livello dell'ente
che ha subito o ritiene di aver subito l'attacco, e quindi anche il
danno, e spesso se il danno non è evidente o se non è immediatamente
evidenziato, come ad esempio il furto di un apparato, spesso è anche
difficile identificare che è avvenuto, e questo è il primo grosso
problema. Quindi occorre tutta un'opera di monitoraggio sistematica e
continua per verificare che non ci siano tentativi di attacco, non
solo che sia avvenuto l'attacco e che abbia avuto successo, ma
addirittura che non ci sia stato il tentativo. Il secondo grosso
problema, in termini investigativi, è che spesso e volentieri
operiamo a livello globale, mondiale, laddove invece le regole, le
normative, differiscono pesantemente nazione per nazione. Per esempio,
in certe nazioni, non è consentita la crittografia dei messaggi, in
altre sì, eccetera, quindi troviamo anche una difficoltà a
omogeneizzare e standardizzare un certo tipo di tecnologie e quindi le
modalità per utilizzarle. Tenga conto che, ad esempio, il fatto che
io debba cercare di identificare chi ha fatto in un ambito di Internet
salterellando su 200 o 300 sistemi diversi in giro per il mondo, e
dovrei ricostruire dei log, si immagini la difficoltà per un
magistrato a chiamare o a chiedere, il ricevimento di log da un numero
alto di enti diversi che risiedono in stati diversi e spesso non sono
facilmente identificabili. Questo le dà già solo la difficoltà
operativa solo per avere le informazioni che le consentirebbero di
iniziare una elaborazione per poter probabilmente identificare chi ha
fatto una certa operazione. Quindi la complessità proprio tecnica,
operativa per identificare in un possibile mondo di attaccanti, quasi
infinito, è estremamente difficile. Le tecniche ci sono, ma
l'applicarle è complesso, costoso, e spesso e volentieri in certi
casi ci si trova il problema di non poter avere certe informazioni
perché per motivi normativi tra una nazione e l'altra questo non è
possibile. Un altro livello di complessità è l'evoluzione
tecnologica. Teniamo conto che l'anno di Internet equivale a tre mesi.
Normalmente una tecnologia, noi abbiamo uno spostamento tecnologico
ogni 18-24 mesi, quindi essere sempre sul filo dell'onda di quali sono
i possibili nuovi strumenti di attacco e quindi poi i possibili nuovi
mezzi di difesa, è una cosa rapidissima che evolve con una dinamicità
terribile e quindi è estremamente difficile seguirla. Tutti i nuovi,
normalmente i nuovi tipici attacchi, sono attacchi fatti con le nuove
tecniche, ad esempio con gli applet, con gli agenti, eccetera. E
questi sono tutti .. in certi casi, non ci sono ancora precisi mezzi
di sicurezza. Uno dei mezzi base di sicurezza è quello di criptare
l'informazione in maniera forte e questo però ogni tanto ci sono
problemi di disponibilità dei mezzi perché in taluni casi è vietata
l'esportazione di alcuni di questi mezzi considerati strategici.
Answer
8
E esistono delle difficoltà normative nell'accertamento dei crimini
informatici in Italia?
Question
La difficoltà normativa è dovuta al fatto che l'evoluzione
tecnologica e quindi la nascita di nuove tecnologie, quindi di nuove
possibilità di attacco, ma anche nuove possibilità di difesa, è
sicuramente molto più veloce della capacità del legislatore di
seguire l'evoluzione tecnologica. Teniamo conto che noi abbiamo quasi
dei 'parading shift', cioè dei salti tecnologici, ogni 18-24 mesi,
no?, perché l'anno di Internet equivale ai tre mesi delle persone
normali e comuni. La legislazione italiana è abbastanza
all'avanguardia nel campo della definizione del crimine informatico.
Già nel '93 abbiamo avuto la prima legge abbastanza chiara e
onnicomprensiva che introduceva il concetto di crimine e di criminalità
informatica e che però ha tenuto conto di uno spettro piuttosto
ampio, ma di uno spettro di possibili attacchi, dall'accesso abusivo
al danneggiamento informatico, al falso informatico, la frode
informatica e così via. Ci sono poi altre leggi che hanno seguito,
ricordo in primis quella sul documento elettronico e la firma
digitale, quindi documenti della legge Bassanini, la Bassanini bis,
così come quella sulla privacy, la legge 675, che ovviamente hanno
posto tutto un insieme di raccomandazioni e di riferimenti
tecnologici, quali tecnologie utilizzare per firma elettronica, per
proteggere la privacy, eccetera. Di sicuro, l'approccio che però in
un mondo così evolutivo dovremmo seguire non è sicuramente quello di
una legislazione e di una normativa puntuale che cerca di
identificare, seguendo quindi gli aspetti tecnologici punto per punto
perché non ce la farà mai, quindi è un approccio diverso che dovrà
essere seguito e quindi con un discorso più di visione più generale,
tenendo conto che l'informazione, questo è il punto base, è un bene,
è un bene per il singolo, è un bene per la società, è un bene per
l'azienda, e come tale va protetto, amministrato, curato.
Answer
9
Perché si dice che la diffusione di Internet stia mettendo in crisi
le leggi sul copyright?
Question
Sta mettendo in crisi le leggi sul copyright e in parte può anche
mettere in crisi quelle sulla privacy. Sono due temi di grande
attenzione negli Stati Uniti. Questo pone tutto un insieme di grossi
problemi sul copyright perché ci sono normative diverse paese per
paese, mentre la globalizzazione di Internet mi permette di andare ad
accedere da qualsiasi parte, spesso e volentieri non so neanche dove
vado fisicamente ad accedere, spesso e volentieri un'informazione
logica è dispersa su più siti diversi, quindi questo pone un
grossissimo problema. Dall'altro lato, per quanto riguarda il discorso
della privacy, è un altro grosso problema la diffusione della posta
elettronica, il fatto che a livello mondiale qualcuno possa andare a
catturare informazioni che transitano, che io faccio viaggiare nella
rete, no?, in Internet, o addirittura va più banalmente ad accedere
alle mie caselle postali o alle caselle postali degli interlocutori
cui ho destinato la mia posta, porta o può portare grossi problemi di
diffusione di informazioni personali. E attenzione: quello che era la
pubblicità dell'informazione che anni fa in ambiti cartacei aveva dei
limiti naturali e fisici, adesso io posso anche andare a cercare su
milioni di messaggi cui io ho, ad esempio, impropriamente accesso,
andare a trovare quelli che si riferiscono a delle persone che mi
interessano e lo fa automaticamente la macchina. Quindi la mia
potenzialità di attacco, di ricercare informazioni, che in un ambito
cartaceo sarebbero inimmaginabili, mi permette di più facilmente e più
efficacemente di violare i diritti di privacy di altri individui.
Answer
10
Potrebbe spiegare più nel dettaglio la questione della tassazione del
bit?
Question
Uno dei grossi problemi legati al commercio elettronico è quello
della difficoltà di tassare transazioni di questo genere. Anche, ad
esempio, il problema della tassa sull'IVA, su un bene che "transeo"
in termini elettronici ma che spesso poi ha un aspetto logistico,
quindi è un bene che fisicamente da un certo magazzino arriverà a
casa mia. In altri casi la transazione è puramente e totalmente
elettronica perché, ad esempio, compero un pezzo di software e
compero e vendo stringhe di bit, questo può anche essere per
un'immagine, per qualsiasi cosa. Come tasso una cosa di questo genere?
Chi la tassa? Come omogeneizzo a livello globale e mondiale una cosa
di questo genere? Questo è uno dei grossi problemi che avremo.
Sicuramente il problema del ritardo forte che in questo momento ha
l'Italia nella diffusione soprattutto a livello domestico degli
strumenti informatici e di comunicazione, quindi l'utilizzo di
Internet, il PC nelle case, eccetera, metà circa della media europea
e la media europea è metà di quella americana, una tassazione sul
bit porterebbe a un ulteriore blocco della diffusione che, seppur con
ritardo, sta avvenendo nel paese. |
 |
