Gli atti del convegno Consumeration and Security, in scena in Franciacorta lo scorso 3 maggio.

Durante la giornata di studio, aperta a tutte le aziende interessate, sono stati affrontati, con l’aiuto di esperti del settore, diversi temi legati alla sicurezza informatica: dalla normativa, alle leggi sulla privacy, ai furti di identità, al cloud computing, alle reti borderless.

Fra i relatori spiccano Pierluigi Perri, professore aggregato in Informatica Giuridica Avanzata nella facoltà di Giurisprudenza dell’Università Statale di Milano, e il colonnello Umberto Rapetto, comandante del GAT – Nucleo Speciale Frodi Informatiche della Guardia di Finanza.

Il primo ha approfondito il tema delle leggi sul trattamento dei dati personali e sulla responsabilità amministrativa connesse agli obblighi di sicurezza e di come queste norme possano essere lette al fine di regolamentare nuovi fenomeni come il “cloud computing”. In particolare, il D.lgs 231/01 ha reso evidente come la responsabilità amministrativa sia imputabile anche delle persone giuridiche, delle associazioni e delle società dalle quali è partita la violazione informatica. Il decreto, infatti, imputa la responsabilità amministrativa anche a questi soggetti per qualunque azione di violazione informatica venga commessa, ad esempio da un proprio dipendente, se da tale azione ne deriva un vantaggio per l’azienda, seppur minimo. Perri, quindi, ha illustrato come il panorama delle conseguenze, a questo punto anche giudiziarie, si allarghi enormemente per società, aziende e associazioni che non compiano un’adeguata azione di protezione delle proprie reti informatiche nei confronti degli stessi dipendenti o collaboratori, magari inconsapevoli di ciò che stanno facendo.

Il colonnello Umberto Rapetto, invece, ha relazionato sull’ingegnerizzazione delle operazioni criminali in rete, ed in particolare sul furto di identità via etere: un fenomeno diffuso in modo ormai esponenziale. Da 25 anni “cacciatore di hacker” in giro per il mondo – storica è l’azione del colonnello e del suo nucleo della Guardia di Finanza contro gli hacker italiani che violarono il Pentagono, la Nasa e il Senato -, Rapetto ha illustrato la facilità con cui le reti informatiche sono violabili da hacker molto spesso minorenni. E con l’evoluzione della tecnologia, riuscire a scovare i responsabili di tali attacchi è cosa ardua. “Lavoriamo su una scena del crimine immateriale che non ha confini e sulla quale arrivare con mezz’ora di ritardo può significare compromettere l’indagine”, ha raccontato. L’intervento del colonnello si è poi concentrato sulle modalità più diffuse di hackeraggio ai danni di imprese o di privati: phishing, pharming, forming e vishing. Si tratta di quattro reati connessi al furto di identità: dal “classico” invio di mail-spam che invita a collegarsi ad un falso link della propria banca o per offerte di lavoro a domicilio, all’invio di moduli da compilare provenienti, apparentemente, da istituzioni pubbliche o attraverso il proprio cellulare con richieste di controllo della propria carta di credito.

Ma si è parlato anche di sicurezza informatica tout court con Giancarlo Turati, presidente FN&Partners: un’attenta valutazione dei rischi reali può portare ad un approccio razionale alla sicurezza delle reti ed evitare il “caos”. Moltissime aziende, così come tante persone che navigano su internet per lavoro o per svago, sono convinte che “a me non succederà mai”. La realtà dei fatti, però, è un’altra e le violazioni informatiche sono molto più frequenti di ciò che si pensa. A volte le stessi reti aziendali ne diventano vittime inconsapevoli e propagatrici allo stesso tempo. Difendersi è possibile, e doveroso come prevede la legge, ma non esistono “pacchetti chiavi in mano” che consentano di dormire sonni tranquilli. L’aggiornamento e la continua ricerca in questo campo sono fondamentali. Ed è ciò che la rete di impresa Bicta offre alle sue aziende.

Stefania Iannelli, Security Engineer di Check Poin Italia, ha poi illustrato alcuni attacchi informatici subiti nel 2011 dalle aziende come L. Martin, RSA, HBGary, le botnet (reti formati da computer collegati ad internet e infettati da malware, che consentono ai loro creatori di controllare il sistema da remoto) e l’approccio Software Blade per web security, anti-bot e data security.

Marcello Masarati, Consulting SE Unified Access di Cisco Italia, ha illustrato quanto un’efficace apertura a collaboratori e strumenti mobili implichi una disciplina aziendale centralizzata e una politica di controllo accessi distribuito.

Domenico Dominoni, Area Manager Sales Security di Cisco Italia ha sottolineato come la mobilità dei servizi e dei device porti valore all’azienda ma esiga un approccio pragmatico, graduale e controllato.

CISCO 2011 ANNUAL SECURITY REPORT
CHECK POINT MOBILE SECURITY SURVEY REPORT