Le News di CONSULENZE DIGITALI - Consulenti Digitali

Vai ai contenuti

Browser e privacy, che c’è da sapere per diventare utenti consapevoli

Consulenti Digitali
Pubblicato da in News Privacy Europea · 8 Dicembre 2018
I principi cardine della sicurezza delle informazioni, le principali minacce che possono essere veicolate attraverso i browser e le contromisure che possono essere usate per proteggersi. Prima fra tutte: la consapevolezza dei rischi e la cultura della sicurezza
di Fabrizio D'Amore fonte agendadigitale.eu
Professore Associato di algoritmi, informatica teorica e sicurezza informatica presso Sapienza Università di Roma
Malware, plugin, cookie di terze parti: sono tante le potenziali minacce che incombono sulla navigazione browser, nei confronti delle nostre informazioni e dati personali.
Il rapporto tra privacy e browser è quindi una questione centrale di quel percorso che ciascun utente deve fare, per poter maturare un uso più consapevole di internet.
Indice degli argomenti
Consapevolezza e corretta valutazione del rischio
Sappiamo che questa maturazione di consapevolezza5 è una sfida, tanto necessaria quanto complessa.
La velocità con cui le tecnologie dell’informazione ci hanno somministrato dosi massive di connettività, dati, strumenti di produttività ed esistenza online non ha avuto idoneo riscontro nell’educazione ad Internet, alle sue potenzialità e alle sue insidie.
I nativi digitali considerano la rete alla stregua dell’aria o di un giocattolo – qualcosa che esiste da sempre e che avvolge le nostre vite – mentre i nativi analogici si suddividono fra coloro che si sono adattati e gli altri, che sono culturalmente distanti da questa presenza trasversale alle attività umane, di cui non si può che predire l’ulteriore espansione. Ma sia i nativi digitali che i nativi analogici riadattati sono troppo spesso inconsapevoli di come alcuni valori indipendenti dalla rete, come la privacy, il rispetto, la sicurezza, trovino nuove declinazioni e differenti sfumature quando immersi nella rete.
La mancanza di una alfabetizzazione della sicurezza, la ridotta percezione dell’incapacità della rete di dimenticare, la sottovalutazione dei meccanismi fulminei e asimmetrici operanti sulla rete e la mancata considerazione dei rischi ad essa connessi determinano frequentamene situazioni gravemente problematiche, di non facile risoluzione e che richiedono quantità ingenti di risorse e tempi prolungati per la loro gestione appropriata.
Eppure alla base della consapevolezza e di una corretta valutazione del rischio ci sono pochi principi essenziali, riconducibili alla sicurezza delle informazioni, tema assai più anziano della tecnologia dell’informazione, che offre tuttavia nel XXI secolo nuove e significative angolazioni, che annunciano grandi sfide ed opportunità.
In quanto segue useremo i termini “dato” e “informazione” come sinonimi, per rilevando che in alcune comunità si preferisce il termine dato per indicare un’entità grezza e atomica, ricorrendo invece alla locuzione informazione per riferirsi all’interpretazione, di più alto livello concettuale, attribuita a tali entità
Sicurezza delle informazioni e cultura della sicurezza
Da molti anni viene utilizzata la dizione sicurezza delle informazioni per denotarel’insieme dei requisiti di sicurezza nella gestione delle informazioni ritenuti fondamentali dalla comunità scientifica e dagli esperti di settore. L’espressione “gestione delle informazioni” denota l’insieme delle attività umane e degli strumenti automatici per la memorizzazione, l’accesso in consultazione e/o modifica, l’elaborazione e la trasmissione delle informazioni.
Il bene informazione, sebbene da sempre protagonista negli scenari complessi e multidisciplinari, assume oggi nuove connotazioni grazie alle moderne tecnologie che, riducendo – forse annullando – le naturali barriere di accesso al dato, espongono il bene informazione a un’ampia e variegata casistica di accessi o usi illeciti, che definiremo genericamente attacchi.
La sicurezza delle informazioni è trattata da numerosi standard internazionali: probabilmente il più celebre di essi è lo ISO/IEC 27001:2013,[1] elaborato dai sottocomitati congiunti della International Organization for Standardization (ISO) e della International Electrotechnical Commission (IEC). Lo standard ha l’obiettivo di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire le indicazioni per adottare un adeguato sistema di gestione della sicurezza delle informazioni. A tali fondamentali requisiti spesso vengono aggiunti anche quelli di autenticazione e non ripudio.
Lo standard, benché concepito in relazione alle esigenze di organizzazioni private e pubbliche, è basato su necessità che emergono oggi come critiche anche nella vita del cittadino comune, immerso in una digitalizzazione pervasiva, caratterizzata da una ampia disponibilità di dispositivi “smart” e sistemi sempre (inter)connessi.
I principali requisiti della sicurezza
Non è disponibile in letteratura una definizione formale e generale dei requisiti, ma tutte le proposte contenuti nei vari standard[2] ruotano, seppur con qualche distinguo, attorno ai medesimi concetti, qui di seguito brevemente discussi.
  • La riservatezza, o confidenzialità, è la proprietà secondo cui l’informazione non viene resa disponibile o rivelata a soggetti non autorizzati, siano essi individui, entità o processi. Il tema è molto attuale, anche in relazione al recente Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (regolamento generale sulla protezione dei dati),[3] e in questa sede verranno maggiormente focalizzati gli aspetti rilevanti all’uso del browser. Le violazioni della confidenzialità dei dati in ambito Web sono alla base di operazioni illecite come il furto di segreti industriali, il furto di identità, gli attacchi alla reputazione, lo stalking.
  • L’integrità dei dati è la garanzia della loro accuratezza e completezza, durante l’intero ciclo di vita. Poiché la semplice modifica di un bit altera l’integrità del dato, si richiede dunque che durante la trasmissione in rete, così come durante la memorizzazione su un qualunque supporto, i dati non possano essere mai manomessi o illecitamente creati. Gli attacchi all’integrità dei dati includono la creazione di dati fraudolentemente attribuita a terzi e sono spesso motivati da intenzioni criminose.
  • La disponibilità dei dati esprime il requisito per cui i dati debbono essere accessibili nei modi e nei tempi previsti da tutti i soggetti aventi diritto. Gli attacchi alla disponibilità dei dati appartengono alla categoria dei cosiddetti attacchi Denial of service (Dos) che si basano sulla semplice idea di far esaurire, mediante apposite azioni, una risorsa limitata di un sistema informatico,[4] in modo che questo non possa continuare a svolgere le sue funzioni istituzionali. Gli attacchi Dos hanno normalmente una durata limitata nel tempo e generalmente producono il loro effetto solamente durante l’esecuzione dell’attacco.
  • La nozione di autenticazione è relativa alla corretta identificazione di un soggetto, spesso remoto, in modo che possano essere correttamente riconosciute le autorizzazioni all’uso delle risorse dei sistemi informatici qualora il soggetto sia un cliente, oppure autorevolezza ed attendibilità qualora sia un server. Inutile precisare che i soggetti che vengono autenticati non sono solamente individui, ma possono essere anche software, dispositivi fisici ecc. Il termine viene usato sia per il concetto di identificazione in senso lato, sia per le procedure specifiche di autenticazione, non essendo quest’ultime, tuttavia, oggetto di attenzione del requisito. La violazione può essere causa della violazione della riservatezza o anche causa di violazione dell’integrità dei dati nei casi di attacchi man-in-the-middle, ove una terza parte si interpone nella comunicazione fra due soggetti intercettando e manipolando le comunicazioni scambiate.
  • Il non ripudio si prefigge di associare in maniera certificata una identità a specifiche azioni, che hanno magari importanza formale o critica. L’esempio più significativo è la firma digitale, ove l’azione formale è quella di firmare un determinato documento e l’identità è quella del firmatario. Con la firma digitale si legano in maniera indissolubile identità del firmatario e documento firmato, spesso anche includendo la data di firma. Tale firma non può essere ripudiata, a meno di dichiarare la compromissione del dispositivo di firma, della chiave privata o dell’infrastruttura di supporto.



Torna ai contenuti