La strategia dell'Acn per difendere le password dagli hacker

AGI - L'Agenzia per sicurezza informatica nazionale ha pubblicato sul proprio sito le linee guida per la conservazione delle password realizzate insieme al Garante per la protezione dei dati personali. È la prima di una serie di pubblicazioni tecniche che servono a proteggere il cyberspazio in cui tutti ci muoviamo. È di queste ore l'attacco ransomware da parte del gruppo di hacker russi Lockbit ai servizi della pubblica amministrazione, attacco contrastato e 'mitigato' grazie proprio all'aiuto dei tecnici dell'Acn.

Nell'ultimo anno l'attività dell'Agenzia guidata dal prefetto Bruno Frattasi ha visto moltiplicarsi le richieste d'aiuto da parte di istituzioni pubbliche, aziende private, talvolta anche piccole, che si sono viste bloccare il proprio sito web o i sistemi di gestione della propria attività da gruppi più o meno conosciuti di 'attaccanti informatici', pronti a restituire la funzionalità delle piattaforme prese 'in ostaggio' in cambio di un riscatto.

Attacchi informatici che colpiscono l'infrastruttura informatica presa di mira quasi sempre dopo un errore di un dipendente: una password mal conservata o facilmente individuabile o la risposta ad una mail apparentemente innocua sono sempre i due incidenti in cui incappano dipendenti e segreterie e che portano alla paralisi dell'azienda. Da qui la massiccia campagna che l'Acn sta conducendo da mesi per aiutare imprese e istituzioni pubbliche a difendersi meglio, a prevenire le aggressioni informatiche.

L'ultima pubblicazione dell'Agenzia non riguarda specificatamente il modo in cui una password personale debba essere generata per mettere al sicuro, ad esempio, gli account social, ma il modo in cui il fornitore del servizio a cui si accede deve proteggere la password per accedervi. Operazione fondamentale, visto come detto lalto numero di violazioni di queste database di password che hanno suscitato scalpore e preoccupazione e causato danni economi ingenti.

Si pensi alla ripetuta violazione dei database dei principali social network, fornitori di caselle di posta elettronica e servizi di e-commerce, e alla successiva compilazione delle credenziali trafugate in enormi magazzini virtuali messi in vendita nei Dark market al miglior offerente, oppure con il semplice scopo di causare un danno reputazionale alle aziende ed entità coinvolte.

I tecnici dell'Agenzia di via di Santa Susanna stimano che nei forum underground ci siano diversi trilioni di credenziali in vendita e che il costo medio globale di una violazione dei dati nel 2023 sia stato di circa 4,5 milioni di dollari, con un aumento del 15% nel corso di 3 anni.

Motivo per cui molte organizzazioni prevedono di aumentare gli investimenti per la sicurezza a seguito di una violazione. Dal 2020, ad esempio, i costi delle violazioni dei dati sanitari sono aumentati del 50% e il settore sanitario, in particolare, ha visto un aumento considerevole dei costi di violazione dei dati a partire dal 2020.

L'obiettivo di queste Linee Guida è perciò quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate all'interno dei database in cui sono contenute e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.

La crittografia protegge da tempo immemorabile le comunicazioni scritte, e l'Italia ha sviluppato nei secoli un'importante scuola di crittografia a partire da Leon Battista Alberti che scrisse il 'De Cifriis'. Alberti fu un geniale crittografo e inventò un metodo per generare messaggi criptati con l'aiuto di un apparecchio, il disco cifrante. Oggi, la crittografia, da importante strumento diplomatico-militare utile laddove corrieri, porte e buste chiuse non bastavano più per tutelare le comunicazioni, è diventato uno strumento fondamentale per garantire la sicurezza nel cyberspazio, ogni volta che accendiamo la smart tv per guardare la partita, ogni volta che mandiamo un messaggio in chat, ogni volta che procediamo a un acquisto online.

Come arte e scienza delle scritture segrete la Crittografia si evolve e, per conservare la sua importante funzione sociale, va aggiornata. Il lavoro svolto col Garante della privacy sulla conservazione sicura delle password, però è solo uno dei modi in cui l'Acn è intervenuta per costruire un ambiente digitale più sicuro.

Sull'esempio di altre realtà internazionali, la Divisione scrutinio tecnologico, crittografia e nuove tecnologie, all'interno del servizio di certificazione e vigilanza dell'Agenzia, guidato dall'ammiraglio Andrea Billet, ha deciso di avviare la pubblicazione della serie "Linee Guida Funzioni Crittografiche", che rappresentano le principali funzioni (primitive) crittografiche sia da un punto di vista teorico, che pratico.

Tra queste ci sono le "funzioni di hash crittografiche", strumenti fondamentali per la cybersicurezza poiché, grazie alle loro proprietà, rendono possibile assicurare l'integrità dei dati, cioé consentono di verificare l'alterazione di un dato o un messaggio; e i "codici di autenticazione del messaggio" o MAC, che permettono di garantire l'integrità di un messaggio, e di verificare l'identità del mittente.

Queste linee guida, tutte insieme, forniscono delle indicazioni precise per l'impiego degli algoritmi crittografici commerciali lungo l'intero ciclo di vita dei sistemi e servizi ICT, in conformità con i principi di sicurezza e tutela della privacy. I documenti - informa l'Acn in una nota - tengono in considerazione le minacce presenti al giorno della loro pubblicazione, e verranno tempestivamente aggiornate in base agli sviluppi di ricerca in termini di crittografia e cybersicurezza.

Data la diversità tra i sistemi informativi a cui si applicano e la varietà di contesti possibili, Acn non può garantire che queste raccomandazioni possano essere utilizzate nei sistemi informativi di destinazione senza adattamento. In qualsiasi caso, la pertinenza dell'attuazione delle soluzioni proposte da ACN deve essere sottoposta, preventivamente, a valutazione e validazione da parte dei responsabili della sicurezza dei sistemi informativi.