INTERVISTA:
Domanda 1
Cos'è il SicurForum, come opera e quali sono i suoi obiettivi?
Risposta
SicurForum è un'iniziativa permanente nell'ambito del forum delle
tecnologie dell'informazione e ha come obiettivo quello di promuovere
e diffondere la cultura, la sensibilizzazione e tutto il background
tecnologico che è in forte evoluzione, riguardo alla sicurezza dei
sistemi informativi e delle telecomunicazioni. Con l'acronimo ICT,
Information and Communication Technology, indichiamo questo insieme;
non solo quindi informatica ma anche telecomunicazioni, la convergenza
di entrambi. Questa promozione avviene attraverso vari canali,
dall'effettuazione di convegni, seminari, gruppi di lavoro e
approfondimento, alle proposte di leggi o di decreti verso l'autorità
governativa. SicurForum si propone di essere un punto di riferimento e
di coagulo per le informazioni relative alla sicurezza e all'avvento
di crimini ICT collaborando anche con altri enti e istituzioni che,
magari in termini più settoriali rispetto a quello che fa Sicurforum,
operano in questi settori. Proprio in questa ottica abbiamo promosso
l'osservatorio permanente sulla criminalità ICT in Italia che opera
su due livelli diversi: da un lato, con una analisi diretta da parte
di FTI SicurForum, con una indagine, in primis presso i propri soci e
altri enti importanti, sul fenomeno criminalità ICT e, dall'altro,
completandolo con altre analisi sia nazionali che internazionali che
altri istituti compiono nel settore.
Domanda 2
Come vengono ottenuti i dati per questo osservatorio?
Risposta
Abbiamo predisposto un questionario, per la prima fase relativa
all'indagine diretta su un campione di 200 aziende ed enti anche
pubblici segmentati proporzionalmente secondo i profili di spesa ICT
nel 1998 e secondo i dati Assinforma; è stato inviato un questionario
in maniera elettronica e dopo la risposta è stato fatto un "follow
up" anche telefonico per i chiarimenti di questo questionario. A
fianco di questo intervento, si sono raccolte un insieme di
informazioni che fanno altri enti di ricerca, di analisi di mercato e
di monitoraggio sistematico e continuo.
Domanda 3
Quali sono le diverse tipologie di crimine informatico?
Risposta
Io non sono un legale, sono uomo d'azienda e opero nei sistemi
informativi, quindi non voglio entrare in disquisizioni accademiche di
definizione. Abbiamo dato una definizione operativa come crimine ICT
intendendo il fenomeno criminale commesso per mezzo o ai danni dei
sistemi ICT. Lo strumento ICT può servire sia per compiere dei reati
tradizionali su Internet ad esempio, oppure invece crimini compiuti con
mezzi informatici sui sistemi informativi o sul bene principale dei
sistemi informativi, che è l'informazione stessa che essi gestiscono e
manipolano. Con questa definizione copriamo uno spettro molto ampio. Ci
siamo focalizzati per il rapporto 1999 solo sul fenomeno criminale
commesso ai danni dei sistemi ICT. Teniamo conto che questo fenomeno è
in larghissima crescita per la diffusione e la pervasività, dei sistemi
informativi e del loro utilizzo a qualsiasi livello e noi vediamo solo
la punta dell'iceberg. Un aspetto molto importante è che l'adozione
della logica di Internet, quindi della logica 'webcentrica' e 'netcentrica'
dei sistemi moderni, si basa su degli standard comuni, su dei protocolli
standard di comunicazione di cui si ha una conoscenza diffusa. Quindi
sono numerosi anche i conoscitori di questi strumenti e di conseguenza i
potenziali attaccanti dei sistemi informativi. Il fenomeno Internet, che
è un fenomeno globale, ha portato questo problema a livello mondiale.
Uno dei dati più importanti che scaturiscono dall'osservatorio '99,
definito OCI, Osservatorio Criminalità ICT in Italia, è quello che gli
attacchi maggiori sui sistemi informativi soprattutto in prospettiva
saranno portati sempre più da persone esterne all'azienda o all'ente
che gestisce questi sistemi mentre, fino a poco tempo fa, normalmente
l'attacco era dovuto a persone interne o comunque che beneficiavano
della complicità di persone interne e che quindi conoscevano l'ambiente
sistemistico e applicativo.
Domanda 4
Possiamo vedere più nel dettaglio alcune di queste tipologie di crimine
informatico?
Risposta
Abbiamo creato, come nel questionario inviato ai 200 enti che abbiamo
consultato, una schematizzazione abbastanza semplice delle tipologie
di attacco: l'area dei virus, l'area degli accessi non autorizzati,
settore ripartito a sua volta in accesso non autorizzato alle risorse
e utilizzo non autorizzato dei dati informativi. Infine la terza
tipologia è la modifica non autorizzata dei dati, che ovviamente è
il danno maggiore. Teniamo conto anche che un crimine
sull'informazione è diverso da quello su un bene normale. Quando io
rubo un'informazione non me ne accorgo. Se un altro l'ha letta, io
rimango "proprietario" di quell'informazione, ce l'ho lì,
è anche difficile accorgersi se qualcuno l'ha letta impropriamente.
Questo porta ovviamente a tutto un insieme di complicazioni poi nel
gestire o addirittura nel verificare che c'è stata una violazione sul
bene informativo stesso. Un'altra area importante di tipologia di
attacco è quello della saturazione di risorse, 'denial of service'
come viene chiamata nella terminologia anglosassone, tipicamente
consiste nell' inviare centinaia o migliaia di messaggi in brevissimo
tempo su una casella postale che bloccano di fatto l'utilizzo di
quella macchina o di quel sistema e viene chiamata dagli hacker lo
spamming. Un'ulteriore area è quella del furto dei dispositivi, furto
che ormai è sempre più orientato sui personal computer e questo è
un fenomeno assai significativo. Infine, Un'ampia area di crimine
informatico è quella dell'uso improprio o dell'abuso di risorse,
magari di terzi, in cui in pratica non reco dei danni al sistema
informativo o alle informazioni in esso contenute, ma utilizzo quelle
risorse. E questo è uno dei fenomeni che con Internet si è
maggiormente diffuso come tipologia di attacco, soprattutto in ambiti
universitari.
Domanda 5
Ci può dare alcuni dati sulla diffusione di alcuni di questi crimini
informatici in un confronto tra l'Italia e gli altri paesi?
Risposta
Dall'analisi che abbiamo fatto sui 200 enti intervistati che sono
stati presi percentualmente e proporzionalmente alla spesa di
informatica per segmento industriale, la maggior parte del fenomeno
riscontrato negli ultimi tre anni è stato quello dei virus. A questo
segue con una ripartizione all'incirca, del 10-12%, il fenomeno dei
vari accessi non autorizzati, alla risorsa ICT, alla rete, al dato e
la modifica non autorizzata dei dati. L'insieme di queste percentuali
porta ad una incidenza ancora maggiore come numero di attacchi subiti,
quindi quasi il 50% degli intervistati, rispetto ai virus. Abbiamo poi
una fascia al momento meno significativa percentualmente, intorno
all'8%, sulla saturazione delle risorse. Tipicamente un fenomeno di
spamming o di messaggi stupidi che avvertono che c'è un virus e
quindi tutti se lo rimandano intasando la rete. Però, almeno nella
situazione italiana, non sono significativi. Molto significativo
invece è il furto dei dispositivi. Spesso capita che venga rubato
l'hard disc perché magari contiene delle informazioni riservate.
Ancora più di frequente però avviene il furto puro e semplice, che
io chiamo da ladri di biciclette, del PC o del PC portatile. Questo è
uno dei problemi della maggior parte dei responsabili dei sistemi
informativi nelle aziende italiane.
Domanda 6
E quali sono le diverse possibilità di intervento?
Risposta
Le possibilità di intervento sono molte. Solitamente ci si muove su due
linee: si individua l'area di prevenzione e poi l'area di
identificazione. Accorgersi che qualcuno ha tentato un attacco, vedere
di scoprire che è e cosa vuole e poi applicare le opportune misure.
Quando parliamo di misure di sicurezza ovviamente interveniamo con tutta
una serie di tecniche che sono sia di tipo fisico che di tipo logico o
tecnologico. Il problema è che l'incidenza dell'aspetto tecnologico è,
a mio giudizio, un 20% rispetto all'80% del problema organizzativo. Io
posso utilizzare e mettere in atto la più sofisticata e moderna tecnica
di sicurezza, ma se poi non viene gestita bene è ovvio che non ha
nessuna efficacia. Se, ad esempio, faccio cambiare ogni settimana la
password di accesso in modo che sia difficile accedere alle risorse,
può accadere che tutti gli utenti si stanchino del continuo cambiamento
e applichino un post-it sul video con la password. Questo è un
problema. Un' altro si presenta quando un utente va a prendere un caffè
e lascia lo screensaver senza password permettendo a qualcuno di entrare
e modificare tranquillamente i suoi programmi. Il problema è proprio
creare una cultura e una sensibilità dell'utente che deve pensare che
sempre più l'utilizzo delle risorse informatiche, delle risorse ICT, è
un fenomeno che può essere attaccato, è sensibile in termini di
sicurezza e quindi va usato 'cum grano salis'. Noi abbiamo poca cultura
in Italia sul fenomeno della sicurezza, spendiamo poco perché è un
aspetto che costa e serve per prevenire cose che forse non accadranno,
quindi è difficile da giustificare nell'ambito di un consiglio di
amministrazione. Ha forti conseguenze organizzative e spesso e
volentieri crea una ridistribuzione del potere tra chi gestisce, ad
esempio, le password, o chi è che gestisce i certificati delle firme
elettroniche. Dobbiamo pensare che finora i meccanismi dei sistemi di
sicurezza sono stati visti come un costo. Per cercare di farli diventare
un investimento occorre dare una valenza di business alla sicurezza.
Come nelle transazioni di electronic business. Questa, a mio giudizio,
è la chiave di volta per portare a un livello maggiore i sistemi di
sicurezza, che in questo momento sono in generale piuttosto deboli.
Domanda 7
Come si differenzia l'attività investigativa in campo informatico da
quella in campo tradizionale?
Risposta
L'attività investigativa si svolge a due livelli: a livello dell'ente
che ha subito o ritiene di aver subito l'attacco, e quindi anche il
danno, e spesso se il danno non è evidente o se non è immediatamente
evidenziato, come ad esempio il furto di un apparato, spesso è anche
difficile identificare che è avvenuto, e questo è il primo grosso
problema. Quindi occorre tutta un'opera di monitoraggio sistematica e
continua per verificare che non ci siano tentativi di attacco, non
solo che sia avvenuto l'attacco e che abbia avuto successo, ma
addirittura che non ci sia stato il tentativo. Il secondo grosso
problema, in termini investigativi, è che spesso e volentieri
operiamo a livello globale, mondiale, laddove invece le regole, le
normative, differiscono pesantemente nazione per nazione. Per esempio,
in certe nazioni, non è consentita la crittografia dei messaggi, in
altre sì, eccetera, quindi troviamo anche una difficoltà a
omogeneizzare e standardizzare un certo tipo di tecnologie e quindi le
modalità per utilizzarle. Tenga conto che, ad esempio, il fatto che
io debba cercare di identificare chi ha fatto in un ambito di Internet
salterellando su 200 o 300 sistemi diversi in giro per il mondo, e
dovrei ricostruire dei log, si immagini la difficoltà per un
magistrato a chiamare o a chiedere, il ricevimento di log da un numero
alto di enti diversi che risiedono in stati diversi e spesso non sono
facilmente identificabili. Questo le dà già solo la difficoltà
operativa solo per avere le informazioni che le consentirebbero di
iniziare una elaborazione per poter probabilmente identificare chi ha
fatto una certa operazione. Quindi la complessità proprio tecnica,
operativa per identificare in un possibile mondo di attaccanti, quasi
infinito, è estremamente difficile. Le tecniche ci sono, ma
l'applicarle è complesso, costoso, e spesso e volentieri in certi
casi ci si trova il problema di non poter avere certe informazioni
perché per motivi normativi tra una nazione e l'altra questo non è
possibile. Un altro livello di complessità è l'evoluzione
tecnologica. Teniamo conto che l'anno di Internet equivale a tre mesi.
Normalmente una tecnologia, noi abbiamo uno spostamento tecnologico
ogni 18-24 mesi, quindi essere sempre sul filo dell'onda di quali sono
i possibili nuovi strumenti di attacco e quindi poi i possibili nuovi
mezzi di difesa, è una cosa rapidissima che evolve con una
dinamicità terribile e quindi è estremamente difficile seguirla.
Tutti i nuovi, normalmente i nuovi tipici attacchi, sono attacchi
fatti con le nuove tecniche, ad esempio con gli applet, con gli
agenti, eccetera. E questi sono tutti .. in certi casi, non ci sono
ancora precisi mezzi di sicurezza. Uno dei mezzi base di sicurezza è
quello di criptare l'informazione in maniera forte e questo però ogni
tanto ci sono problemi di disponibilità dei mezzi perché in taluni
casi è vietata l'esportazione di alcuni di questi mezzi considerati
strategici.
Domanda 8
E esistono delle difficoltà normative nell'accertamento dei crimini
informatici in Italia?
Risposta
La difficoltà normativa è dovuta al fatto che l'evoluzione tecnologica
e quindi la nascita di nuove tecnologie, quindi di nuove possibilità di
attacco, ma anche nuove possibilità di difesa, è sicuramente molto
più veloce della capacità del legislatore di seguire l'evoluzione
tecnologica. Teniamo conto che noi abbiamo quasi dei 'parading shift',
cioè dei salti tecnologici, ogni 18-24 mesi, no?, perché l'anno di
Internet equivale ai tre mesi delle persone normali e comuni. La
legislazione italiana è abbastanza all'avanguardia nel campo della
definizione del crimine informatico. Già nel '93 abbiamo avuto la prima
legge abbastanza chiara e onnicomprensiva che introduceva il concetto di
crimine e di criminalità informatica e che però ha tenuto conto di uno
spettro piuttosto ampio, ma di uno spettro di possibili attacchi,
dall'accesso abusivo al danneggiamento informatico, al falso
informatico, la frode informatica e così via. Ci sono poi altre leggi
che hanno seguito, ricordo in primis quella sul documento elettronico e
la firma digitale, quindi documenti della legge Bassanini, la Bassanini
bis, così come quella sulla privacy, la legge 675, che ovviamente hanno
posto tutto un insieme di raccomandazioni e di riferimenti tecnologici,
quali tecnologie utilizzare per firma elettronica, per proteggere la
privacy, eccetera. Di sicuro, l'approccio che però in un mondo così
evolutivo dovremmo seguire non è sicuramente quello di una legislazione
e di una normativa puntuale che cerca di identificare, seguendo quindi
gli aspetti tecnologici punto per punto perché non ce la farà mai,
quindi è un approccio diverso che dovrà essere seguito e quindi con un
discorso più di visione più generale, tenendo conto che
l'informazione, questo è il punto base, è un bene, è un bene per il
singolo, è un bene per la società, è un bene per l'azienda, e come
tale va protetto, amministrato, curato.
Domanda 9
Perché si dice che la diffusione di Internet stia mettendo in crisi
le leggi sul copyright?
Risposta
Sta mettendo in crisi le leggi sul copyright e in parte può anche
mettere in crisi quelle sulla privacy. Sono due temi di grande
attenzione negli Stati Uniti. Questo pone tutto un insieme di grossi
problemi sul copyright perché ci sono normative diverse paese per
paese, mentre la globalizzazione di Internet mi permette di andare ad
accedere da qualsiasi parte, spesso e volentieri non so neanche dove
vado fisicamente ad accedere, spesso e volentieri un'informazione logica
è dispersa su più siti diversi, quindi questo pone un grossissimo
problema. Dall'altro lato, per quanto riguarda il discorso della
privacy, è un altro grosso problema la diffusione della posta
elettronica, il fatto che a livello mondiale qualcuno possa andare a
catturare informazioni che transitano, che io faccio viaggiare nella
rete, no?, in Internet, o addirittura va più banalmente ad accedere
alle mie caselle postali o alle caselle postali degli interlocutori cui
ho destinato la mia posta, porta o può portare grossi problemi di
diffusione di informazioni personali. E attenzione: quello che era la
pubblicità dell'informazione che anni fa in ambiti cartacei aveva dei
limiti naturali e fisici, adesso io posso anche andare a cercare su
milioni di messaggi cui io ho, ad esempio, impropriamente accesso,
andare a trovare quelli che si riferiscono a delle persone che mi
interessano e lo fa automaticamente la macchina. Quindi la mia
potenzialità di attacco, di ricercare informazioni, che in un ambito
cartaceo sarebbero inimmaginabili, mi permette di più facilmente e più
efficacemente di violare i diritti di privacy di altri individui.
Domanda 10
Potrebbe spiegare più nel dettaglio la questione della tassazione del
bit?
Risposta
Uno dei grossi problemi legati al commercio elettronico è quello della
difficoltà di tassare transazioni di questo genere. Anche, ad esempio,
il problema della tassa sull'IVA, su un bene che "transeo" in
termini elettronici ma che spesso poi ha un aspetto logistico, quindi è
un bene che fisicamente da un certo magazzino arriverà a casa mia. In
altri casi la transazione è puramente e totalmente elettronica perché,
ad esempio, compero un pezzo di software e compero e vendo stringhe di
bit, questo può anche essere per un'immagine, per qualsiasi cosa. Come
tasso una cosa di questo genere? Chi la tassa? Come omogeneizzo a
livello globale e mondiale una cosa di questo genere? Questo è uno dei
grossi problemi che avremo. Sicuramente il problema del ritardo forte
che in questo momento ha l'Italia nella diffusione soprattutto a livello
domestico degli strumenti informatici e di comunicazione, quindi
l'utilizzo di Internet, il PC nelle case, eccetera, metà circa della
media europea e la media europea è metà di quella americana, una
tassazione sul bit porterebbe a un ulteriore blocco della diffusione
che, seppur con ritardo, sta avvenendo nel paese.
|
 |
