di Davide Marcomini
Che cosa significa occuparsi di sicurezza oggi, qual’è il limite tra sicurezza informatica e sicurezza fisica in un mondo in cui siamo tutti perennemente iperconnessi?
Faccio l’installatore di sistemi di sicurezza (antifurto e videosorveglianza) da quasi trent’anni, sono cresciuto a pane e infrarossi ma dopo tanti anni sul campo sono giunto alla conclusione che per occuparsi di sicurezza fisica è indispensabile non sottovalutare l’aspetto informatico.
Perché i due settori anche se apparentemente slegati tra loro sono – scusate il gioco di parole – invece molto più connessi di quanto si possa credere. Ogni apparecchiatura installata infatti in genere è connessa a internet sopratutto nelle utenze private, quindi il cliente come prima cosa, ti chiede di poter vedere le telecamere da remoto o di potersi collegare all’impianto d’allarme tramite un app da cellulare, d’altro canto siamo abituati a farci accendere le luci dall’assistente vocale di Alexa piuttosto che chiedere informazioni a Google.
Questo equivale a dover mettere in rete il videoregistratore o la centrale di allarme e per mettere in rete intendo esporre in modo più o meno sicuro l’apparecchiatura su internet.
Ma facciamo una premessa. I nostri dati sensibili assumono un grande valore sul dark-web dove cioè si scambiano dati delle persone per fini illeciti, per questo vi è grande fermento tra chi si fa pochi scrupoli e tenta di accedere in modo illegale ai nostri dati, pertanto le nostre reti, i nostri computer dovrebbero essere sempre più sicuri – di qualche giorno fa la notizia che i dati della ULSS6 Euganea di Padova sono online pubblicati da LockBit, cartelle mediche esami clinici, persino gli orari del personale – mi accorgo sempre più spesso invece che il cliente non bada alla propria sicurezza informatica (forse perché non teme il rischio o non lo sente come una minaccia – non settando addirittura password del router o settando password con un livello di sicurezza pari a zero, cito pippo79 a puro esempio sperando che non sia la password nessuno.
Ma perché gli hacker dovrebbero perdere tempo per trafugare i nostri dati o per entrare nelle nostre reti?
Sempre più sovente a farlo è una macchina, un software, algoritmi progettati per scopi illeciti, si è vero che a monte ci sarà stata una persona che li ha programmati, progettati però poi il fine è posto in essere da una macchina un algoritmo o un software come dicevo prima.
Come entra in gioco la sicurezza fisica?
Abbiamo detto che tutto è connesso, che per nostra comodità tutte le apparecchiature sono fondamentalmente esposte e quindi soggette al potenziale rischio di essere raggiunte dalle lunghe mani degli haker, troppo spesso infatti per semplicità o per velocità di esecuzione o perché magari semplicemente la nostra rete è nattata (parte di una rete privata) e non consente quindi settaggi più spinti e sicuri, la connessione tra noi e i nostri dispositivi nella fattispecie tra il nostro telefono cellulare e l’impianto di allarme o di videosorveglianza avviene tramite un cloud di cui non abbiamo informazioni, non sappiamo dove sia ne da chi sia gestito o che livelli di sicurezza implementi. Non penserete che la telecamerina comprata online sulla prima piattaforma cinese e connessa tramite WPS al router o la centralina appoggiata alla libreria e collegata con la spina utilizzino cloud certificati vero?
Ecco a questo punto posso solo immaginare quanto possa essere facile ad esempio spiarci in casa o magari riuscire ad entrare nel sistema d’allarme.
Quindi come dovremmo fare per aumentare la nostra sicurezza informatica?
Se parliamo dell’aspetto più banale principalmente andrebbero rispettate alcune regole banali, quindi aumentare la sicurezza delle password, cambiare il nome utente di default del router, della rete wifi, usare password difficilmente rintracciabili, non utilizzare il nostro nome cognome o i nostri dati conosciuti all’interno delle password, non usiamo la stessa password per tutti i nostri servizi internet e cambiarle spesso, ad esempio la password della mail non dovrebbe essere la stessa di facebook, non dovrebbe essere la stessa con cui accedete al sito della banca, ovviamente sto banalizzando ma capita spesso purtroppo di trovare che l’utente usi pippo79 per tutti i servizi, questo andrebbe assolutamente evitato poiché una volta scoperta questa password sarebbe troppo semplice arrivare a tutti gli altri servizi il cui accesso è protetto da quella password, fino ad arrivare per chi desidera livelli superiori ad installare apparecchiature dedicate alla sicurezza informatica come i firewall e naturalmente affidarsi a personale competente in grado di maneggiare tutti questi sistemi.
Sono tutti accorgimenti che inevitabilmente vi porteranno via del tempo ma sono tutti accorgimenti che potrebbero aiutarvi ad aumentare la sicurezza delle vostre reti informatiche e dei vostri dati digitali.
È assolutamente corretto quanto scritto da Davide Marcomini. Troppo spesso si sente dire “il mio è un piccolo appartamento, non c’è niente da rubare ecc.” minimizzando quello che e’ il livello di rischio, che invece c’è e non bada a fasce sociali o a dimensioni a metro quadro. Mille sono le casistiche e le motivazioni dei furti, pianificati o occasionali, e colpiscono ogni tipo di edificio, così come sono mille le tipologie del delinquente, dal ragazzetto che fa la spaccata per i soldi della dose al professionista che conosce tecnologie, tecniche e metodi di frode. Queste sono certezze, e uguali certezze devono esserci nel contrastare efficacemente ogni tipo e livello di attacco. Incluso, ovviamente , quello dell’indebito accesso remoto attraverso il canale dati. I suggerimenti dati nel post sono le cautele di base indispensabili ma spessissimo trascurate e sottovalutate. Accanto a questo e, direi, ancora prima di questo, vale affidarsi a chi di sicurezza è esperto, conosce in modo provato tecnologie e metodi di frode, inclusi quelli informatici, e predispone scelte, difese e contromisure opportune. Lasciarsi convincere da una pagina pubblicitaria o da uno spot televisivo in modo emozionale è il più grave errore che si possa fare in tema di sicurezza. La sicurezza non è un gadget fico o una bella schermata sullo smartphone da fare vedere agli amici. Sarebbe come avere un bel conto corrente, con un appeal su tablet graficamente fichissimo. Ma se manca il contenuto, cioè i soldi veri dentro al conto, quel conto corrente non vale nulla. È solo chiacchiere e biadesivo…