Libero
SICUREZZA INFORMATICA

#1. Che cos’è il rischio cyber e come si gestisce

Piccolo glossario dei concetti e dei termini della cybersecurity

#1. Che cos’è il rischio cyber e come si gestisce

Ciao a tutte e a tutti,
oggi prende il via un piccolo viaggio tra i concetti e i termini della cybersecurity che ha l’obiettivo di ripartire dai fondamentali della materia cercando di utilizzare un linguaggio il più possibile semplice e chiaro. L’esigenza di semplicità e chiarezza nasce dalla consapevolezza che la materia è importante e può avere un impatto rilevante sulla vita delle persone e delle imprese e che uno dei principali strumenti di difesa è costituito dai comportamenti che è necessario mettere in atto per usare in modo sicuro le tecnologie digitali. A volte il taglio sarà un po’ più teorico ma sempre corredato di esempi concreti e dalla definizione dei termini utilizzati.
Buona lettura.
Marcello Fausti

Un rischio è la probabilità che un evento avverso si verifichi producendo un danno che può avere gli impatti più differenti: umani, economici, di immagine.

I rischi (R) vengono classificati in base alla probabilità di accadimento (P) ed all’impatto potenziale (I): R=PxI. Esistono rischi con impatto potenziale molto elevato ma (per fortuna) probabilità di accadimento remota e rischi che si concretizzeranno con elevata probabilità ma che (sempre per fortuna) hanno un impatto piuttosto limitato. Nel mezzo c’è un’ampia gamma di rischi che devono essere singolarmente valutati e gestiti.

“Siamo a rischio hacker!” Questa è un’affermazione che rende l’idea ma non è del tutto corretta; un hacker è una minaccia e la sola minaccia non è sufficiente a definire completamente un rischio. Una vulnerabilità di un sistema informatico è una falla, un bug, una debolezza che può essere sfruttata da un hacker per produrre un danno a noi e un vantaggio a lui. Senza la vulnerabilità, un hacker non è più una minaccia, perché non sarebbe in grado di portare a compimento nessuna azione criminosa. Perché un rischio si concretizzi, dunque, è necessario che ci sia una minaccia, che esista una vulnerabilità e che la minaccia sia in grado di sfruttare la vulnerabilità per produrre un danno.

Visto, però, che le vulnerabilità sono un tratto ineliminabile di ogni tecnologia e che queste crescono al crescere della superficie digitale, possiamo ben dire che tutti noi siamo costantemente sottoposti alla minaccia costituita dagli hacker.

Il fatto che una vulnerabilità esista, però, non implica automaticamente che essa sia sfruttabile da una minaccia. Ovvero, le vulnerabilità costituiscono un pericolo solo se esiste un attaccante che ha la motivazione, un concreto obiettivo di sfruttamento e metodi per sfruttarle.

Quando ciò accade e se la vulnerabilità non è coperta da controlli di sicurezza, allora si genera un’area di esposizione a cui è associato un impatto potenziale che definisce completamente il rischio che la persona o l’organizzazione corre.

Visto, quindi, che non è possibile eliminare tutte le vulnerabilità, il problema è sviluppare una strategia di trattamento del rischio basata sulla probabilità che un rischio – come sopra definito – si concretizzi. Su questa base è possibile costruire una serie di scenari di rischio da gestire in base alla priorità data da R=PxI.

Minaccia. È l’agente esterno che incarna la minaccia potenziale.
Vettore di attacco. È il veicolo utilizzato dalla minaccia per attuare una strategia che mira ad individuare una vulnerabilità e sfruttarla.
Tecnica di attacco. È l’azione messa in atto da una minaccia per sfruttare una vulnerabilità.
Vulnerabilità. È la debolezza che utilizzata dalla minaccia per produrre un danno.
Rischio. È la probabilità che un evento negativo si manifesti generando un danno di natura varia ma esprimibile in termini economici.
Danno. È l’impatto negativo generato dalla minaccia quando riesce a sfruttare una vulnerabilità.

Strategia di trattamento del rischio. È la strategia che deve essere attuata da chiunque sia soggetto ad un rischio, allo scopo di limitarne gli effetti potenziali. Le strategie possibili sono quattro:

  • Mitigare: ovvero, applicare controlli in grado di ridurre al minimo la probabilità che una minaccia sia in grado di sfruttare una vulnerabilità;
  • Trasferire: ovvero, fare in modo che qualcun altro sostenga l’impatto del danno qualora dovesse concretizzarsi; in genere corrisponde alla stipula di una polizza assicurativa;
  • Accettare: ovvero, decidere di convivere con il rischio;
  • Eliminare: ovvero, smettere di tenere un comportamento rischioso.

Motivazione. Motivo interno che un agente di minaccia ha per realizzare un attacco.
Obiettivo. Ciò che la minaccia spera di realizzare con l’attacco.
Metodo. Processo mediante il quale un agente di minaccia tenta di sfruttare una vulnerabilità per raggiungere un obiettivo.
Controllo. Processo e misura messa in atto allo scopo di ridurre la probabilità di subire un danno a causa della vulnerabilità.
Esposizione. Vulnerabilità senza controllo.
Attacco. Azione di una minaccia avente lo scopo di sfruttare una vulnerabilità.

Esempi.

Se non aggiorniamo costantemente il software del nostro PC, prima o poi esporremo una vulnerabilità che potrà essere sfruttata da qualche hacker interessato a rubare i nostri dati (credenziali, foto, codici di carte di credito, codici di sistemi di homebanking) per qualche motivo (rivendita su dark web, frode, ricatto).

Sfruttando quella vulnerabilità, un hacker può inserire nel nostro PC un ransomware in grado di cifrare il nostro hard disk, sostanzialmente prendendolo in ostaggio, allo scopo di chiederci di pagare un riscatto in bitcoin a fronte del quale ci restituirà la chiave utile a decifrare i dati e rendere le nostre foto e i nostri documenti di nuovo leggibili.

Allo stesso modo, un cybercriminale potrebbe sottrarci le credenziali della nostra posta elettronica o dei social network a cui siamo iscritti. Perché dovrebbe farlo? Per inviare spam o per trollare (a nostra insaputa), in altre parole per sottrarci la nostra identità digitale ed utilizzarla in modo fraudolento traendone un vantaggio economico.

Infine, un cybercriminale potrebbe installare un malware sul nostro computer per assoldarlo all’interno di una botnet allo scopo di effettuare attacchi informatici contro qualche altro obiettivo in Italia o all’estero. Il cybercriminale sarebbe, quindi, in grado di utilizzare il nostro computer a nostra insaputa per scopi illeciti; insomma, il nostro computer diventerebbe uno zombie.

Vulnerabilità. È l’assenza, la presenza in misura ridotta o la compromissione delle misure di sicurezza di un sistema (quale esso sia); una vulnerabilità rappresenta un punto debole che consente a un eventuale aggressore (la minaccia) di compromettere il livello di sicurezza dell’intero sistema.

Ransomware. Malware che cripta i file presenti sul computer della vittima, richiedendo il pagamento di un riscatto per la relativa decrittazione. I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo di allegati a messaggi di posta elettronica.

Bitcoin. È una criptovaluta, ovvero un sistema di pagamento elettronico basato su Internet e su protocolli sicuri. I bitcoin diversamente dalle monete non sono mediati da un ente centrale (sistema bancario) ma sono convertibili in moneta tradizionale (è possibile acquistarli e venderli).
Trollare. Il comportamento di chi provoca, insulta, aggredisce qualcuno online pubblicando commenti negativi nei confronti di altri utenti della comunità virtuale.

Spam: invio non richiesto di pubblicità ed offerte commerciali. Usato anche per indicare una quantità confronti di altri utenti della comunità virtuale.

Malware. Software malevolo creato per danneggiare un computer o un terminale mobile (smartphone o tablet) collegato in rete.

Botnet. È una rete di robot (robot-net, da cui il termine botnet), cioè di dispositivi informatici che una volta infettati da malware, passano sotto il controllo di una entità centrale chiamata centro di comando e controllo. Lo scopo è utilizzare tali dispositivi per realizzare attacchi informatici distribuiti, propagare virus e malware, sottrarre dati personali, inviare spam, ecc.

Identità digitale. In un’accezione ampia è costituita dall’insieme di informazioni presenti online in relazione ad un determinato soggetto. In senso più stretto, l’identità digitale è articolata in due parti: l’identità vera e propria e le credenziali che ognuno possiede (gli attributi di tale identità). Identità (username) e credenziali (password o dispositivi più complessi) sono la chiave per accedere a tutte le informazioni che ci riguardano e che sono memorizzate online.

Username. Il nome identificativo dell’utente che è normalmente visibile, diversamente dalla password.

Password. Sequenza di caratteri nota solo al legittimo proprietario; la sua introduzione consente l’accesso a parti di sistemi o di siti, confermando che il richiedente ha le abilitazioni necessarie.