I DATI SOTTO CONTROLLO. La protezione delle informazioni tra crittografia, storage e responsabilità

Transcript

1 I DATI SOTTO CONTROLLO La protezione delle informazioni tra crittografia, storage e responsabilità a cura della redazione di Computerworld Italia ICT e R&S >>Internet e reti

2 Sommario Il codice dei dati...4 Lo storage vuole protezione...7 Anche il responsabile dei sistemi informativi va controllato...9 Glossario...11 Pagina 2 di 12

3 Introduzione Le aziende di tutte le dimensioni e di tutti i comparti nei prossimi anni saranno sempre più obbligate a fare i conti con la crittografia dei loro dati. Maggiori precauzioni nella tutela delle informazioni aziendali più critiche saranno sempre più richieste sia per proteggersi da perdite, furti e nuove tipologie di attacco che, c è da scommetterci, saranno sempre più sofisticati, sia da normative per la tutela della privacy o per il rispetto di compliance generali o di settore che riguardano anche aspetti di riservatezza. Se oggi la crittografia non è sentita come una priorità dalle aziende, questa situazione potrebbe cambiare anche molto rapidamente. Chi si occupa di gestione dei dati deve quindi essere al corrente di questi possibili cambiamenti iniziando a conoscere lo stato delle soluzioni oggi disponibili sul mercato. E vero che ancora oggi in queste persone sono radicate, a ragione, delle convinzioni che non depongono a favore di queste soluzioni, ma affermazioni come Inserire nel ciclo di gestione dei dati tecnologie di crittografia significa aumentare i tempi di backup, utilizzare più spazio su disco e su nastro e aumentare i costi iniziano a non essere più così vere. In questo dossier affrontiamo questa prima tematica andando a illustrare lo scenario di mercato, le possibili strategia da adottare in azienda e alcuni sviluppi tecnologici. Un altro argomento particolarmente caldo nel settore della protezione dei dati è quello che vede l'utilizzo in sempre più realtà di medie e grandi dimensioni di infrastrutture di memorizzazione connesse tra loro per creare un'unica rete, rendendosi accessibili ai vari sistemi con diritto di accesso. Si parla, in breve, delle cosiddette Storage Area Network (SAN). Andiamo quindi nel dettaglio tecnologico del problema tenendo conto, in generale, che per queste reti valgono gli stessi discorsi di metodo delle delle classiche rete locali (LAN): per garantirne la sicurezza non basta individuare le vulnerabilità e lavorare su quelle. Bisogna definire procedure di risk assessment e di auditing come accade per le reti dati, considerando ancora una volta le normative e gli obblighi legali a cui l'azienda deve sottostare nel trattamento delle informazioni. Trattamento delle informazioni che oggi in Italia è regolamentato in primo luogo dalla Legge 196/03 sulla protezione dei dati personali che prevede una serie di dettami con possibili pene a livello civile e penale per chi non la rispetta. Ecco allora che la sicurezza in azienda non riguarda solamente il responsabile dei sistemi informativi. Sentiamo quindi il parere di alcuni esperti e imprese su questo argomento di stretta attualità. Pagina 3 di 12

4 IL CODICE DEI DATI Nuovi pericoli e nuove esigenze di compliance spingeranno le aziende utenti ad adottare in modo crescente innovative soluzioni di crittografia dei dati. Uno scenario di riferimento Fin dall anno scorso sono apparsi i primi prodotti di una nuova generazione di soluzioni di crittografia che promettono di infrangere quelle che sono considerate le tre barriere relative alle prestazioni, allo spazio e ai costi. La buona notizia quindi c è: la gestione della crittografia è diventata più semplice e i tempi di backup sono diventati ragionevoli anche quando si utilizzano algoritmi per codificare i dati. Le buone notizie sono però finite qui, e tra quelle cattive ne spicca una piuttosto significativa dal punto di vista degli aspetti di management di queste soluzioni: a oggi non esiste un unico metodo o sistema di crittografia che possa essere applicato in ogni ambito aziendale, quando si vogliono proteggere i dati memorizzati in un portatile o quando questi vengono inviati nelle librerie a nastro per essere conservati come storici. In poche parole, se il problema dell abbinamento di soluzioni di crittografia e gestione dei dati memorizzati ha iniziato a essere affrontato dal punto di vista tecnologico anche con qualche successo, la strada per far sì che questo abbinamento venga apprezzato anche dalle aziende utenti è ancora lunga. Oggi, la migliore strategia per affrontare il tema nella propria realtà è mettere in opera tre azioni ben precise: - identificare i dati giusti da criptare; - scegliere solo la tecnologia di crittografia che si reputa necessaria; - gestire le chiavi in modo efficiente. All unanimità gli esperti sostengono che attualmente non esiste il modo giusto per applicare la crittografia alla propria realtà aziendale, molto dipende dalla percezione del rischio che ha una impresa del suo business e delle risorse che questa ha a disposizione per risolvere il problema. Oggi la cosa migliore, viene suggerito, è tenere sotto controllo l evoluzione di una o due tecnologie che attualmentes sono in grado di supportare la maggior parte delle problematiche che l azienda ha in relazione a questo tema, e iniziare a pensare a come applicarle nella propria realtà. Qui di seguito viene proposta una panoramica sulle tecnologie di crittografia più innovative. Appliance di back-end Le aziende che cercano una soluzione di crittografia per i dati elaborati nel back-end, prima che questi vengano indirizzati a un processo di backup, possono prendere in considerazione delle appliance da installare come interfaccia tra le piattaforme server e i sistemi di storage. Tali dispositivi si occupano di gestire tutte le fasi di codifica dei dati in entrambi i sensi di trasmissione. Appliance specializzate in crittografia sono già disponibili sul mercato e possono essere utilizzate in abbinamento a sistemi SAN, NAS, iscsi e con i dispositivi a nastro. Assicurano una codifica alla velocità teorica della rete, con una latenza ridotta al minimo. Rispetto alle soluzioni di crittografia software, le soluzioni basate su appliance presentano degli indubbi vantaggi: i dati che vengono criptati via software non possono essere compressi, mentre i dispositivi hardware hanno integrato al loro interno un chip di compressione dei dati che entra in gioco prima della loro codifica. A tutti gli effetti la crittografia non si applica ai dati originali, ma a quelli risultati dal processo di compressione. Pagina 4 di 12

5 La crittografia nelle librerie a nastro La crittografia integrata nelle librerie a nastro è una opzione interessante per tutte quelle aziende che necessitano di ridurre al minimo il rischio di subire una perdita o un furto di dati quando questi viaggiano suoi nastri al di fuori dell azienda. Questa soluzione, a detta degli esperti, ha due benefici rispetto alle soluzioni di crittografia via software. Prima di tutto non ci sono delle penalizzazioni dal punto di vista delle prestazioni. Integrando capacità di crittografia nei sottosistemi a nastro, tutto il processo viene svolto dal coprocessore dedicato a questa funzione a una velocità vicina a quella teorica assicurata dalla rete. Secondo: tutte le funzioni di sicurezza sono completamente trasparenti rispetto al software. Tutte le funzioni di crittografia vengono realizzate direttamente all interno della libreria senza incidere sul funzionamento di server e applicazioni, anche per quanto riguarda le funzionalità di backup svolte da questi. La libreria è completamente autonoma e non necessita di software specialistico, né deve supportare i diversi sistemi operativi installati nell ambiente server. Portatili e crittografia alla periferia della rete Per determinate tipologie di aziende la crittografia non riguarda solo i dati generati dalle attività di backoffice, ma può essere altrettanto importante proteggere con lo stesso livello di sicurezza i dati che vengono distribuiti ai confini della rete aziendale e che vengono memorizzati su pc desktops o anche su dispositivi portatili come notebook, palmari, smartphone e quant altro oggi disponibile in ambito di mobile computing. Oggi molti dati su portatile vengono protetti banalmente dalle password di accesso a Windows: se qualcuno ruba un portatile con questo livello di protezione minimo, non ci metterà molto a entrare nel sistema per andare a leggere i file che più gli interessano. Una soluzione di protezione più forte esiste già all interno dell infrastruttura Active Directory di Microsoft, ma la gran parte degli utenti non la conosce e non la utilizza. Alcuni costruttori di notebook stanno lavorando alla possibilità di integrare nei loro sistemi delle soluzioni di crittografia, tra cui Lenovo, mentre Microsoft integrerà delle capacità di crittografia in Vista, la prossima versione del suo sistema operativo. Non crittografare tutto Alcuni studi condotti negli Stati Uniti tra le aziende che in passato hanno svolto delle attività di assessment sui loro archivi per identificare i dati sensibili dimostrano che le informazioni da salvaguardare sono effettivamente una piccola parte rispetto al totale. Gartner ha addirittura stabilito che, a seconda della tipologia di business svolto dall azienda, i dati sensibili che val la pena criptare vanno mediamente dagli 8 ai 12 bit per ogni record. Si tratta di codici identificativi (negli USA per esempio è molto importante il numero di Social Security con il quale ogni cittadino è identificato, cosa analoga succede in Italia con il codice fiscale), i numeri delle carte di credito, informazioni relative alla salute o all orientamento sessuale di una persona. Una volta che sono stati identificati i dati che realmente vale la pena di criptare, allora si può poi procedere nel selezionare la soluzione che assicura una copertura migliore senza incidere troppo in termini di prestazioni, complessità e costo. Non è infatti necessario procedere con un processo di crittografia a tappeto su tutti i dati di un database clienti, anche per non avere problemi per quanto riguarda i tempi di risposta sulle istanze di accesso e di ricerca. Un secondo aspetto è quello relativo al management della crittografia che deve essere gestita a livello centrale, e il più possibile con le stesse modalità per database transazionali, sistemi portatili e archivi storici: è necessario tenere traccia dei movimenti compiuti dai dati sensibili all interno dei sistemi informativi aziendali e mantenere sempre lo stesso livello di protezione. Le ambizioni di DRM Secondo Gartner, la tecnologia di Digital Rights Management (DRM) ha le potenzialità nei prossimi cinque anni di diventare quella di protezione persistente dei dati aziendali più diffusa e utilizzata dagli utenti. Nel frattempo, sostiene sempre la società di ricerca, sarà difficile che una soluzione ibrida riesca a coprire le esigenze di protezione dei dati in tutte le diverse aree aziendali; per forza di cose bisognerà quindi procedere con soluzioni diverse e specifiche per ciascuna di esse. Pagina 5 di 12

6 La strada che porta a una crittografia persistente Anche quando in azienda viene implementata una strategia di crittografia che riguarda i più diversi ambiti dei sistemi informativi (database gestionali, sistemi portatili e archivi storici), trasferire dati criptati tra questi può essere un impresa paradossale. In molti casi oggi, i dati devono passare attraverso un processo di codifica e decodifica ogni volta che vengono spostati da un ambito all altro. Esistono delle soluzioni che fanno da ponte tra un area all altra, per esempio quelle che non richiedono un nuovo processo di crittografia quando si trasferiscono i dati dal database della posta elettronica a un sistema portatile, ma concretamente ancora oggi non esiste una soluzione che consenta di ottenere una crittografia persistente in grado di coprire tutta l architettura. Un alternativa interessante sta emergendo grazie all opzione tecnologica dell Enterprise Digital Rights Management (DRM). Questa opzione offre una soluzione di crittografia e di sicurezza persistente, con una configurazione dei diritti di accesso definita all interno dello stesso file. In pratica a ogni file viene associata un etichetta, se un utente vuole visionare o stampare un file, questo diritto è scritto in questa etichetta. DRM può diventare una soluzione interessante anche per tutte quelle aziende che distribuiscono dati sensibili al di fuori del loro stretto ambito aziendale, nella cosiddetta impresa estesa che coinvolge fornitori e partner commerciali. Pagina 6 di 12

7 LO STORAGE VUOLE PROTEZIONE Una Storage Area Network va considerata vulnerabile quanto una rete dati convenzionale, ma per ora la disponibilità di prodotti mirati alla sicurezza di questi ambienti è ancora limitata Gli amministratori di rete devono affrontare, nella gestione della sicurezza delle reti di storage, gli stessi problemi che si presentano per la security delle reti locali (LAN): proteggere le informazioni senza ridurre le performance delle applicazioni e senza aggiungere complessità alle procedure di gestione. Il problema è che in tema di storage le scelte possibili, tecnologiche e di prodotto, sono inferiori rispetto al mondo della sicurezza delle reti aziendali "classiche". Il firewall non basta Le SAN collegano i disk array, e in generale i dispositivi di memorizzazione, fra loro in modo che i server e le applicazioni possano accedere ai dati e condividere le risorse di storage, utilizzandole meglio di quanto accade quando esse sono collegate direttamente ai server. Man mano che si estende l'uso delle SAN e delle unità NAS (Network Attached Storage), però, la sicurezza diventa un problema sentito, in particolare quando si adotta il protocollo IP come tecnologia di base, invece di (o in unione a) Fibre Channel, che è una tecnologia intrinsecamente più sicura. La percezione comune, secondo cui una SAN è sicura perché posizionata dietro i firewall, non tiene conto del fatto che una Storage Area Network ha molti più punti di ingresso rispetto al normale DAS (Direct Attached Storage). Sono relativamente pochi i prodotti nati per proteggere specificamente lo storage in rete, il che lascia alle imprese solo la possibilità di affidarsi alle funzioni di security implementate direttamente dai fornitori hardware o software. Data la situazione, gli analisti consigliano di utilizzare strumenti di storage management che supportino gli standard di sicurezza più attuali - come IPSec (IP Security), RADIUS (Remote Authentication Dial-In User Service) e SNMPv3 - ed eventualmente anche quelli emergenti come DH-CHAP (Diffie-Hellman Key Encryption Protocol - Challenge Handshake Authentication Protocol). Con IPSec, che l'ietf ha reso obbligatorio in alcuni software per lo storage che vogliano essere considerati standard, si possono aggiungere funzioni di cifratura e autenticazione nelle reti IP di storage. RADIUS fornisce una base per definire procedure di sicurezza basate sui ruoli e su un database centrale che contiene le informazioni di accesso degli utenti, mentre SNMPv3 supporta la cifratura dei dati di management che provengono dai dispositivi di storage. Alcuni fornitori puntano a garantire la sicurezza delle informazioni attraverso l'autenticazione degli utenti e dei dispositivi prima di concedere loro l'accesso alla rete. DH-CHAP, la cui standardizzazione completa dovrebbe avvenire entro l'anno, fornisce proprio queste funzioni ed è una parte obbligatoria dei Fibre Channel Security Protocols, in via di sviluppo da parte dell'ansi. DH-CHAP serve sostanzialmente a verificare e a garantire l'identità dei dispositivi di storage e degli switch Fibre Channel. Configurazioni sicure I produttori di storage non supportano tutti allo stesso modo gli standard descritti, ma la maggior parte supporta il LUN (Logical Unit Number) masking, che limita il numero di volumi logici che un'applicazione o un server possono vedere, e lo zoning, che divide i dispositivi di una SAN in gruppi logici simili a una Virtual LAN. Alcuni produttori supportano anche il binding, una tecnica relativamente nuova che usa le ACL (Access Control List) per determinare quali dispositivi possono collegarsi a quali porte. Anche se queste funzioni non mettono al sicuro i dati, impediscono agli amministratori di rete di configurare le SAN in modo improprio. Ciò aiuta a rendere le reti più sicure, almeno secondo la SNIA: in uno studio dello scorso gennaio la Storage Networking Industry Association Pagina 7 di 12

8 sottolineava che la complessità delle reti di storage rende gli errori nelle configurazioni il rischio principale per la sicurezza delle Storage Area Network. Immagazzinare i dati senza cifrarli è un'altra delle debolezze più diffuse nelle SAN, soprattutto considerando che in qualsiasi momento il 98% dei dati aziendali non sta transitando su una rete ma è fermo sui dischi o sui nastri. Questa considerazione ha portato la cifratura dei dati al centro dell'attenzione dei produttori, che oggi permettono di implementare funzioni di encryption sui server, sulle schede (gli HBA - Host Bus Adapter) che collegano i server alla rete di storage, sui client o su dispositivi stand-alone che cifrano il traffico in transito. L'utilizzo di questi ultimi si sta rivelando interessante perché presenta diversi vantaggi: evita che debbano essere gli utenti a gestire le proprie chiavi e password, riduce al minimo l'impatto sulle prestazioni della rete e delle applicazioni. Un "appliance" dedicato può inoltre essere gestito direttamente dallo staff della sicurezza e non richiede l'intervento degli IT manager che si occupano specificamente di storage, evitando una pericolosa sovrapposizione di competenze. Può inoltre integrare anche funzioni diverse dalla cifratura, come l'autenticazione o la gestione delle policy e degli accessi. La visione della SNIA è che nel prossimo futuro tutte queste funzioni verranno integrate negli switch, nei disk array e nelle unità a nastro, anche se al momento alcuni produttori indicano che la richiesta del mercato è ancora limitata. Pagina 8 di 12

9 ANCHE IL RESPONSABILE DEI SISTEMI INFORMATIVI VA CONTROLLATO Chi si occupa di affari legali in azienda deve seguire il lavoro del CIO e degli IT manager: se le misure di protezione sono poche o male applicate la tutela non è affatto garantita La tutela delle informazioni riservate è un problema che va oltre le competenze dei network manager e dei CIO, e più in generale dei tecnici. Oggi il problema della protezione delle informazioni vede in prima fila anche chi, in azienda, si occupa degli affari legali: un po' perché le normative legate alla sicurezza, la Legge 196/03 in primis per le imprese italiane, impongono questa attenzione, un po' perché per molte aziende la protezione delle informazioni coincide ormai con la tutela della proprietà intellettuale, argomento molto più sentito dal top management rispetto alla protezione della rete. Aiutati che Dio ti aiuta Ma proprio questo argomento, ha spiegato l'avvocato Giovanni Casucci del MIP - Politecnico di Milano durante l'edizione veronese di Infosecurity 2006, deve spingere chi si occupa di leggi in azienda a esaminare ciò che un CIO, o chi per lui, mette in campo per la sicurezza dei dati: là dove si definisce cos'è giuridicamente la tutela delle informazioni riservate si spiega anche che le informazioni "Possono essere tutelate solo attraverso una condotta specifica. Scherzando, possiamo dire che vale il principio dell'aiutati che Dio ti aiuta". Il concetto, in breve, è che se un'azienda non può dimostrare di aver messo in atto ciò che serviva a proteggere i suoi dati, è difficile che possa vedere difese appieno le sue ragioni in un'aula di tribunale se questi dati vengono in qualche modo sottratti. "La messa in sicurezza è un passo necessario per avere poi tutela: il diritto dipende da un fatto giuridico e da uno organizzativo", riassume Casucci. Operativamente, il primo passo sta nel capire cosa è davvero importante: "Le aziende devono comprendere quale sia il livello di criticità delle informazioni che possiedono, con una sorta di 'due diligence' interna... Fatta questa checklist, le misure di secretazione che si possono adottare sono diverse", commenta Casucci, e ricadono in tre grandi gruppi: fisiche (ad esempio conservare i documenti in cassaforte, ma anche definire policy di accesso agli edifici...), genericamente 'non fisiche' (firewall, cifratura, password...) e infine giuridiche (Non Disclosure Agreement, marcatura dei documenti...). Tra queste ultime ricade ad esempio una mossa banale ma importante: il 'disclaimer' che spesso troviamo alla fine dei messaggi di posta elettronica e che legalmente protegge ciò che la mail contiene nel malaugurato caso che il messaggio arrivi a un destinatario diverso da quello previsto, magari per colpa di un virus. L'impatto delle norme Per molte imprese, come dicevamo, è stata la Legge 196/03 sulla protezione dei dati personali a riportare in primo piano il problema di come si gestiscono certi dati in azienda. "La cosa più importante che ne è scaturita", spiega ad esempio Luigi Zucchi, che di questo argomento si occupa in Aermec e che ha partecipato con esponenti di altre aziende alla tavola rotonda che ha seguito l'intervento di Casucci, "è l'importanza del coinvolgimento delle persone. Abbiamo parlato con chi gestisce direttamente le informazioni in azienda e ci siamo resi conto che bisogna aumentare il livello di consapevolezza dei dipendenti che usano la rete aziendale". Il peso della legge è stato diverso a seconda delle aziende, ma in generale gli utenti ne evidenziano gli aspetti organizzativi più che economici. "L'impatto forte", sottolinea Fabio Pirrone, dell'ufficio legale di Benetton, "l'abbiamo avuto a livello organizzativo. La focalizzazione su determinate attività spinge l'azienda a 'guardarsi dentro' e a formalizzare delle procedure che magari c'erano già ma in modo informale... Non è inusuale nelle imprese vedere ancora i post-it attaccati ai computer con username e password, oppure il pc lasciato acceso con il foglio di lavoro aperto e la persona assente. In questo le norme hanno aiutato... I costi ci sono stati, ma alla fine se ne ha un ritorno in benefici e in vantaggio competitivo". Pagina 9 di 12

10 Dopo le norme e le tecnologie, infatti, la sicurezza dipende sempre dalle persone interne ed esterne all'azienda, dalle loro competenze a dalla loro affidabilità. "Il livello dei dipendenti", commenta Lorenzo Fronteddu, che fa parte dell'ufficio legale di Parmalat, "lo giudico abbastanza buono, anche se il turnover in azienda è un rischio quando i 'nuovi' sono abbandonati a sé stessi... Poi ci sono sempre da Tutela dei dati personali Le informazioni e il testo sulla legge 196/03 citata nell'articolo sono disponibili sul sito del Garante per la protezione dei dati personali all'indirizzo considerare i rapporti fiduciari con i fornitori, con i quali si condividono informazioni che a rigor di logica sarebbero riservate". Che non sia solo un problema di tecnologie lo conferma anche Fabiola Trafiletti, della Polizia Postale e delle Comunicazioni: "Il fattore umano è importante per le frodi, pensiamo ad esempio al social engineering, come per la prevenzione. Le aziende non devono abbandonare a sé stesso il dipendente con il suo pc, se non c'è nessuno che controlla le anomalie il circolo della sicurezza non si chiude". E le aziende talvolta 'cadono' per impreparazione del proprio personale tecnico: "Quelli che dovrebbero essere esperti IT molte volte non sono affatto. Ci sono casi in cui le querele non sono seguite dai dati su cui lavorare, dati che un vero tecnico dovrebbe avere facilmente", aggiunge Trafiletti. Pagina 10 di 12

11 GLOSSARIO Appliance Apparato che integra una o più funzioni di protezione dei sistemi informativi DAS Direct Attached Storage. Soluzione che prevede la connessione diretta dei sistemi di storage al server. DRM Digital Rights Management. Sistema di protezione che prevede l'assegnazione di diritti di accesso e utilizzo a un file su diversi livelli. Fiber Channel Interfaccia di connessione per il trasferimento dei dati che sfrutta cavi in fibra ottica iscsi Protocollo di rete che permette di realizzare SAN sfruttando gli standard Internet, abbassandone i costi LAN Local Area Network. Rete che mette in connessione i computer dislocati in uno spazio definito come un edificio o un ufficio. E' la tipica rete che si trova in un'azienda. NAS Network Attached Storage. Tipicamente un server destinato alla gestione dei file che sfrutta un ambiente operativo dedicato. E' connesso a sua volta in rete. SAN Storage Area Network. Infrastruttura che mette in rete i sistemi di storage senza che vengano connessi direttamente al server. Pagina 11 di 12

12 . Documento reperibile, assieme ad altre monografie, nella sezione Dossier del sito Documento pubblicato su licenza Periodici Italia Pagina 12 di 12