La sicurezza informatica[1], definibile come la scienza che si occupa di studiare soluzioni idonee a fornire lo standard più alto di sicurezza tecnicamente raggiungibile dei sistemi informatici, si deve far carico di rappresentare in una società come quella odierna ad alto grado di informatizzazione il punto di frizione e tenuta tra la società in ampio senso intesa e i crimini perpetuati attraverso o sulle nuove tecnologie informatiche e telematiche.
«In altre parole “sicurezza” è tutto ciò che permette ad un’azienda di restare tale. (Omissis) Oggigiorno qualsiasi azienda, dalla media impresa alla grande multinazionale, affida gran parte dei propri processi di business ai sistemi informativi e quindi alle informazioni (dalla fatturazione ai processi produttivi vitali). Quando un evento dannoso, sia esso di origine naturale o doloso, colpisce i sistemi che gestiscono le informazioni di cui l’azienda ha bisogno, quasi sempre si traduce in una brusca interruzione dei processi aziendali e quindi del fatturato»[2].
Per tale motivo appare sempre più necessario diffondere una cultura della sicurezza in azienda già presente, per altri aspetti, nella vita quotidiana in cui, ad esempio, nessuno: a) si avventurerebbe da solo, senza difesa, di notte in un vicolo malfamato di una sperduta e sconosciuta città; b) darebbe le proprie informazioni personali, più o meno sensibili, ad un soggetto sconosciuto che le chiedesse per strada; c) concederebbe, in genere, la propria fiducia se non dopo aver attestato la solidità del rapporto con l’istituzione o la persona che la richiede.
Il primo problema da risolvere è quello di individuare, anche se in modo generale ed astratto, il bene oggetto della politica di sicurezza dell’azienda. Bisogna, in altre parole, andare al cuore del problema potando ed eliminando dalla ricerca tutto quello che si manifesta solo come riflesso e conseguenza di un bene di fondamentale importanza per l’esistenza stessa della società.
Il problema della c.d. privacy[3] e quello della sicurezza dei dati personali non sono altro che esternazioni e specificazioni tematiche di quello che in realtà è l’oggetto della sicurezza: il “dato informatico”. Per esso, ai fini di questo scritto, convenzionalmente si deve intendere quell’insieme di bit che avendo la possibilità di essere conservato, manipolato o semplicemente veicolato tramite un sistema informatico o telematico necessita di un circuito di sicurezza che ne garantisca una complessa serie di parametri.
Innanzitutto, deve essere garantita la disponibilità e l’integrità dei dati a chi ne ha diritto, attraverso una serie di politiche atte a facilitare l’accesso e il reperimento dei dati affiancate da accorgimenti tesi a ridurre il rischio di modifiche accidentali o non autorizzate.
La disponibilità deve essere intesa parte essenziale del processo di sicurezza costituendone il limite oltre il quale le ristrettezze e i confini imposti per garantire l’integrità del dato non devono o possono andare: a che serve tutelare e difendere, impedendo o rendendo difficoltosa la disponibilità da parte degli aventi diritto, un bene che è tale solo in virtù del suo utilizzo e della rapidità con cui è concretamente fruibile?
Il rapporto tra sicurezza e disponibilità del dato informatico è un rapporto mezzo/fine: il dato è rilevante perché la sua disponibilità è “sicura”.
Per quanto riguarda l’integrità del dato informatico, il sistema sicuro deve garantire che esso possa essere sempre disponibile in modo integro. Per garantire tale parametro il sistema deve munirsi non solo di meccanismi tesi a proteggere il dato dall’esterno e dai soggetti non autorizzati a disporne ma anche e, principalmente, da un nemico più sfuggente e di cui è difficile prevedere in anticipo le mosse e i bersagli: lo stesso utente legittimato (robustezza del sistema). La tutela contro le cancellazioni o le modifiche che per casualità o inesperienza possono essere causate da un utente non accorto o inesperto spesso producono, anche nel quotidiano rapporto con le nuove tecnologie, danni gravi e costosi.
Tra i parametri rientranti e costituenti la sicurezza informatica, sempre più sintesi di caratteristiche e proprietà eterogenee piuttosto che entità monotematica, rientrano, inoltre, l’autenticazione e la riservatezza.
Autentico è ciò che: «risponde a verità… la cui conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato e che fa fede come l’originale; vero, genuino, schietto…; attribuito in modo irrefutabile a un autore, non imitato né falsificato…»[4].
Nell’ambito della sicurezza informatica, autentico è generalmente utilizzato nell’accezione attribuente la paternità di un dato ad un soggetto ben determinato. Solo attraverso la certezza che la richiesta, o la risposta, provenga dal soggetto avente diritto si possono ipotizzare rapporti qualificabili come sicuri.
I meccanismi di autenticazione rivestono, quindi, un ruolo fondamentale per la creazione stessa della sovrastruttura idonea a supportare una società digitalmente relazionata, visto che gli stessi meccanismi appaiono necessari sia per l’accesso al dato che per la sua trasmissione.
Specificando ulteriormente, per quanto riguarda l’accesso è necessario che il sistema possa identificare e riconoscere l’utente al fine di poter mettere il soggetto autorizzato nelle condizioni di esercitare il proprio diritto alla disponibilità del dato. Tra i mezzi più diffusi si possono rinvenire quelli che si basano sulle password, sui sistemi biometrici e su smart card supporto di diverse tecnologie.
Altra sfaccettatura da inserire all’interno del più ampio concetto “sicurezza informatica” è quella relativa alla riservatezza del dato: un sistema non può definirsi sicuro se consente a chi non ha diritto di accedere ai dati in esso custoditi, in modo assoluto o in misura più ampia e diversa da quella autorizzata.
Se appare facile identificare i meccanismi e i limiti da imporre per distinguere coloro che possono da coloro che non possono accedere ad un determinato dato, diviene difficile identificare e porre dei limiti a chi può accedere allo stesso in misura variabile temporalmente e quantitativamente. Inoltre, si può accennare ad un’altra caratteristica che acquista sempre maggiore rilevanza nel contesto della società nata online: la verificabilità. L’attributo della verificabilità nasce dal fatto che il dato informatico possa, e debba, essere suscettibile di verifica, ossia di un’ «operazione di controllo per mezzo della quale si procede all’accertamento di determinati fatti o risultati nel loro valore e nelle loro modalità»[5].
Il problema della sicurezza è relativo non solo al momento della paternità dell’atto, ma anche alla non modificabilità o alterabilità silente del dato in un tempo successivo alla creazione dello stesso.
A differenza di un oggetto materiale, ad esempio un documento scritto, in cui è visibile una correzione o alterazione successiva all’ultimazione dello stesso, nell’oggetto digitale ciò che appare a prima vista è la sua estrinsecazione informatica in cui le modifiche ed alterazioni precedenti non sono facilmente rintracciabili da un soggetto non esperto e senza le opportune dotazioni software e hardware.
Un sistema può essere definito sicuro quando, mantenendone traccia, riesca a fornire un quadro verificabile delle operazioni compiute sui dati da esso custoditi e/o veicolati. Livelli maggiori di sicurezza corrispondono, ad esempio, al fatto di facilitare attraverso tracce registrate l’evidenziazione del legame causale fatto/autore.
Un ulteriore e necessario requisito è rintracciabile da william stallings nella c.d. non-repudiation[6].
Tale requisito, in termini generali, non dovrebbe permettere il rifiuto e/o la ripudiabilità di un dato trasmesso sia al mittente e sia al destinatario. Da ciò deriva: quando il dato è stato trasmesso, il ricevente può provare che lo stesso sia stato inviato dal mittente autorizzato ad inviarlo e, in modo speculare, quando il dato è ricevuto, il mittente può provare che lo stesso sia stato ricevuto dal ricevente autorizzato.
In conclusione, nella progettazione e nella valutazione di un sistema informatico aziendale, per i motivi illustrati, deve essere tenuto in forte considerazione il problema della sicurezza in tutte le sue diverse sfaccettature. Vi è l’obbligo, infatti, di creare, aggiornare e valutare, alla luce delle inesorabili e continue innovazioni tecnologiche, i diversi meccanismi idonei a proteggere i dati senza impedirne o limitarne la fruibilità da parte di chi ha un diritto, più o meno ampio, d’accesso agli stessi.
NOTE
[1]L’intero paragrafo trae spunto dalla lettura di: PERRI, Un’introduzione all’information security, in Ciberspazio e Diritto, 2001, vol. 2, n. 3-4, 337.
[2] AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzione, Roma, 2005, 13. La frase è estrapolata dall’introduzione a cura di Corrado Giustozzi.
[3] Per una sintesi dei più rilevanti adempimenti in materia di privacy all’interno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005.
[4] DEVOTO-OLI, Il dizionario della lingua italiana, UTET.
[5] DEVOTO- OLI, voce Verificabilità, op. cit..
[6] WILLIAM STALLINGS, Cryptography and network security, 1999, 5