L’esigenza di mantenere il controllo su file e documenti riservati si scontra spesso con la necessità di garantire un buon livello di produttività agli utenti.
Mi occupo dell’assistenza informatica presso uno Studio Legale. Sto cercando un prodotto che consenta di limitare/monitorare l’uploading da parte dello staff di documenti tramite la loro posta privata (su Yahoo, Gmail, etc.) o tramite spazi condivisi in Internet (come la nota “valigetta” di Yahoo).Vorrei evitare di bloccare completamente l’accesso a questi sistemi di posta, ma vorrei altresì assicurarmi che un dipendente infedele possa utilizzarli per sottrarre documenti riservati. I software che ho visto in circolazione consentono di controllare le porte USB e i vari dispositivi collegabili al PC ma non trovo nulla per ciò che mi interessa.
Se si cerca una protezione realmente sicura ed efficace e valida in generale, che al tempo stesso non impedisca di lavorare, il problema è sostanzialmente insolubile se si agisce sul solo versante tecnico.
L’elemento umano è il vero elemento debole della catena e la sua responsabilizzazione, sottolineata da adeguate normative, rimane necessaria anche se il problema della sicurezza è stato studiato in modo approfondito dal punto di vista tecnologico applicando tutte le soluzioni informatiche conosciute che siano adottabili senza causare un impatto catastrofico e inaccettabile sulla produttività del lavoro.
Cerchiamo di evidenziare il motivo dell’insufficienza delle misure puramente tecniche (che probabilmente può anche spiegare la non esistenza di programmi come quello richiesto).
Si tenga presente che fra i principali canali di “uscita”, logici o trasmissivi, vi sono:
- e-mail;
- Web e-mail;
- Web in generale, in particolare i siti con possibilità di upload di contenuti;
- software di file sharing peer to peer;
- supporti di memorie di massa rimovibili;
- rete locale Ethernet
- rete Wi-Fi
- Bluetooth
- infrarossi
- porte USB, a cui possono essere collegati sia pen drive sia minuscoli modem Internet UMTS con accesso diretto alla rete cellulare scavalcando qualunque firewall;
- dispositivi come palmari e smartphone, dotati di una propria capacità di storage interna e in grado di collegarsi in qualsiasi modo con il PC, anche via docking station;
- monitor, che può essere banalmente fotografato o ripreso con videocamera o cellulare.
e si noti che la maggior parte di questi canali è utilizzabile anche da utenti senza privilegi amministrativi sulla macchina.
Vediamo brevemente, uno per uno, se e come possono essere tappati questi “buchi”.
Un router opportunamente configurato potrebbe bloccare l’accesso a determinati siti di cui fosse nota la possibilità di upload contenuti. Tuttavia si tratta di una difesa futile, perché il numero di siti è enorme, fra l’altro ben al di là delle possibilità di memorizzazione e gestione di un router, e non si può nemmeno immaginare di conoscerli tutti; perché siti esistenti che fino ad ora non consentivano l’upload di contenuti potrebbero iniziare a farlo domani; perché nuovi siti nascono continuamente, quindi la lista andrebbe aggiornata di continuo; infine, perché esistono siti detti “anonymizer” o anche “public proxy” che consentono di collegarsi al sito X non direttamente, ma attraverso un sito Y, vanificando totalmente il controllo.
Nemmeno è possibile pensare di bloccare semplicemente, a livello di router/proxy, le connessioni in upload verso qualunque sito, perché in una moltitudine di situazioni l’upload è necessario e legittimo; per fare un esempio banale, si pensi a Windows Update, con cui la prima fase consiste in un upload delle caratteristiche hardware e software del computer, per consentire a Microsoft di stabilire quali patch o aggiornamenti occorrano e quindi quali download proporre. È quindi impraticabile pensare di bloccare l’accesso a siti Web potenzialmente in grado di offrire una via di fuga alle informazioni; questo include, in particolare, sistemi di Web mail, online backup.
Per quanto riguarda l’invio di informazioni via e-mail come allegati a un messaggio spedito a un indirizzo esterno, non ha senso configurare un proprio mail server in modo tale che faccia rispettare una sorta di “black list” di indirizzi verso cui impedire la spedizione di messaggi, in quanto è banale creare in pochi minuti un nuovo indirizzo di e-mail non ancora compreso nella “black list” e spedire a quell’indirizzo i dati da sottrarre. Sarebbe invece immaginabile il filtro contrario, “in positivo” anziché “in negativo”, ossia consentire l’invio di e-mail solo a indirizzi noti e compresi in un certo elenco. Tuttavia tale elenco andrebbe continuamente aggiornato con i nuovi contatti dello studio professionale, per consentire di lavorare, e comunque, visto il gran numero di falle di sicurezza alternative, anche se questo metodo fosse implementato in modo estremamente accurato si tratterebbe di una fatica del tutto vana.
Il software peer to peer è più facile da bloccare perché il suo protocollo è generalmente riconoscibile da parte di un firewall (almeno per i software oggi noti) e perché possono essere impediti l’installazione di tali software negando l’uso di privilegi amministrativi.
L’uso di memorie di massa rimovibili, come floppy disk, supporti ottici scrivibili, pen drive o schede flash, è una ovvia falla di sicurezza che può essere tappata eliminando componenti hardware e configurando opportunamente il BIOS del PC. Tuttavia è immediato rendersi conto che la mancanza di questi utili accessori ostacolerebbe seriamente anche le legittime attività di lavoro.
Discorso analogo vale per altre potenziali “porte” di fuga per i dati, come la rete locale Ethernet e le interfacce wireless come il Wi-Fi, il Bluetooth e gli infrarossi. Ma mentre per queste ultime due funzionalità è pensabile che una loro eventuale disattivazione non costituirebbe un problema tale da compromettere la produttività, per LAN e WLAN il discorso è diverso.
Le porte USB sono un’altra evidentissima falla di sicurezza. Inserire un pen drive e copiarvi diversi GB di documenti sensibili è questione di secondi e l’operazione è banale, alla portata di chiunque. Il BIOS dei PC permette generalmente di disattivare il controller USB integrato nel south bridge, “spegnendo” tutte le porte USB di base. Ma anche in questo caso ci si deve chiedere se sia realistico pensare di lavorare con un PC privo della funzionalità USB.
Anche un innocuo PDA, palmare o smartphone nella sua docking station collegata al PC può essere una falla di sicurezza: dal PC è infatti possibile vedere il file system del dispositivo, ed è immediato, agendo dal PC, copiarvi dei file. Bisognerebbe quindi proibire i cradle e i collegamenti di sincronizzazione.
Altre pratiche che potrebbero sembrare valide soluzioni in realtà non lo sono. Per esempio, si potrebbero memorizzare i documenti in vari dischi cifrati, uno per ciascun dipendente e separati per competenza, la cui password sia stata comunicata al solo dipendente interessato, ma non è una pratica produttiva.
Mantenere un log delle connessioni in uscita potrebbe teoricamente consentire di tracciare le fughe di dati via rete, ma l’analisi dei log per cercare le poche connessioni verso siti di upload è un’attività estremamente onerosa, specialmente in presenza di un elevato traffico Web “legittimo” che farebbe sì che l’indagine assomigli alla ricerca di un ago in un pagliaio; non è economicamente sostenibile come prassi normale e probabilmente non lo sarebbe nemmeno in molti casi di illecito, per individuare le responsabilità. Senza contare che il log delle connessioni riguarda solamente la vigilanza sulle connessioni di rete, lasciando scoperte tutte le altre vie.
Impostare in modo severo i profili utente, negando a tutti i normali utilizzatori qualunque privilegio amministrativo, ha certamente senso e riduce ma non elimina i rischi.
Impedire a tutti gli utenti “normali” l’accesso fisico all’unità centrale del proprio PC è un’altra misura coadiuvante. I PC possono essere sostituiti da macchine virtuali su un server raggiunte da thin client senza disco, porte USB o altre interfacce.
Per bloccare efficacemente (ma ancora non totalmente) le fughe di notizie via rete, e solo quelle, con una misura draconiana che avrebbe però inaccettabili impatti sull’operatività quotidiana dei collaboratori, si potrebbe consentire l’accesso Web non a tutti i PC dei dipendenti, ma solamente a un ben identificato PC che non sia in rete locale con gli altri, abbia le porte USB disabilitate da BIOS, non abbia interfaccia Wi-Fi, infrarosso o Bluetooth e sia configurato con un profilo non amministrativo; abbia disabilitato il boostrap da dispositivi USB o da unità ottica; abbia la porta Ethernet non fisicamente accessibile; abbia il cabinet non fisicamente apribile; non disponga di un card reader; non disponga di masterizzatore; non disponga di floppy drive.
Oltre a ostacolare in modo esagerato il lavoro dei collaboratori che abbiano occasionalmente (e legittimamente) bisogno di un accesso Web, questa misura lascia comunque aperte molte altre porte, come sopra evidenziato. Si tratta di una misura inutile quanto lo sarebbe l’installazione di un cancello corazzato in una radura senza recinto (o con una recinzione costellata di falle): è sufficiente aggirare l’ostacolo per oltrepassarlo.
Da quanto si è detto dovrebbe risultare chiaro che le misure puramente tecniche possono solo ostacolare, mai eliminare del tutto, la fuga di informazioni; e il loro costo di esercizio cresce rapidamente, fino a livelli insostenibili soprattutto per una piccola organizzazione.
Si tratta quindi non di assicurarsi una blindatura totale, che nella pratica è sostanzialmente impossibile da raggiungere, ma di trovare un giusto equilibrio costi-benefici fra i deterrenti legali e le “barriere” informatiche.
Il problema è quindi più culturale e di informazione piuttosto che tecnologico.