di Pierluigi Paganini*
Nei giorni scorsi mi sono imbattuto in un interessante articolo pubblicato su un portale del governo britannico che discute di frodi e servizi telematici governativi.
I principali governi stanno spingendo come non mai sullo sviluppo di nuovi servizi telematici che possano migliorare il rapporto tra istituzioni e cittadini, consentendo agli Stati anche un maggiore controlli sui servizi erogati.
Tutto ciò ha un costo in termini di sicurezza. Quando accettiamo di identificarci nel web attraverso una pletora di nuovi servizi siamo inevitabilmente più esposti a frodi di vario genere. È la nostra superficie di attacco che inevitabilmente si allarga.
Come ridurre il rischio frodi con l’open standard
Il governo di Londra non ha dubbi: il rischio frodi si combatte con l’open standard. La risposta è nell’adozione di standard aperti, verso cui è necessario certificarsi, come specificato al punto 9 del “Digital by Default Service Standard”.
Ma l’approccio del governo britannico va oltre il semplice suggerimento. Diventa operativo nel momento in cui sostiene le organizzazioni nella messa in esercizio di sistemi per la gestione e la salvaguardia dell’identità digitale dei sudditi di sua Maestà.
I fornitori di servizi pubblici, come gli uffici governativi e le autorità locali, i principali Internet Service Providers, i rivenditori online e le banche devono adottare tutte le misure necessarie alla salvaguardia dell’identità digitale dei propri utenti. Devono farlo limitando le implicazioni finanziarie e amministrative derivanti da attività fraudolente, come i furti di identità.
L’Identity Assurance Programme
Il fulcro del sistema anglosassone è l’Identity Assurance Programme. Tra le numerose attività, il programma prevede lo sviluppo di un sistema di “garanzia” dell’identità nel Regno Unito. Parliamo di un framework che le organizzazioni possono usare per certificare in tutta sicurezza l’identità del cittadino nella fruizione di servizi pubblici.
Sempre il governo britannico ha redatto una serie di guide che spiegano come le best practice nell’assunzione di standard aperti possano prevenire un’ampia gamma di incidenti. Tra questi:
♦ Furto di identità perpetrato da “impostori”. È il caso di soggetti che rubano dati e informazioni dei cittadini del Regno Unito per accedere ai servizi governativi offerti da aziende certificate nell’adozione dei suddetti standard. Sfortunatamente, è davvero semplice reperire informazioni online di cittadini britannici. Soprattutto alla luce dei numerosi incidenti occorsi negli ultimi anni, uno su tutti quello del ISP TalkTalk.
La guida “identity proofing and verification” per la verifica dell’identità dei cittadini che accedono ai servizi vuole prevenire questo genere di crimini. In particolare, sono dettagliati i controlli necessari a prevenire l’azione di impostori. La guida suggerisce alle aziende certificate di controllare se l’identità del soggetto è conosciuta per essere stata usata da un impostore in passato. In questo caso sono necessarie verifiche supplementari per scongiurare il peggio.
♦ Account takeover, ovvero tutte quelle situazioni in cui un attaccante tenta di eludere i processi di autenticazione per prendere il controllo di uno dei servizi certificati.
Tali eventi si verificano facilmente, spesso a causa di cattive abitudini degli utenti. Utenti che, ad esempio, difficilmente usano sistemi di autenticazione a due fattori, seppure disponibili. Oppure che spesso riutilizzano le stesse credenziali per più servizi online. Le linee guida del governo britannico approcciano un’ampia gamma di scenari in cui l’utente è esposto a vari rischi a causa di un’errata postura di sicurezza. Le linee guida offrono indicazioni relative ai processi di autenticazione da implementare in conformità agli standard attuali.
♦ Hijacking, ovvero gruppi criminali potrebbero attaccare direttamente il cittadino e, in particolare, i dispositivi usati per accedere ai servizi. Tipicamente ciò accade attraverso l’uso di malware in grado di interferire con le operazioni di autenticazione e accesso ai servizi telematici del governo. In tal caso, le organizzazioni che offrono servizi devono adottare misure che cerchino di individuare un “pattern” relativo a questo tipo di attività fraudolenta, sebbene ciò sia davvero difficile. Lato cittadino, invece, è auspicabile che siano installate soluzioni di sicurezza e che tutti i software siano aggiornati all’ultima versione.
Chiaramente, i controlli dettagliati dal Governo britannico sono un primo passo verso un sistema nazionale più sicuro. I controlli devono evolvere nel tempo di pari passo con le minacce.
Tuttavia l’impegno del governo britannico deve essere di esempio per molti Stati che ancora oggi sono indietro nell’adozione sicura di servizi digitali.
Non basta incrementare il numero di servizi accessibili digitalmente per essere virtuosi. È necessario adoperarsi per farlo in maniera sicura. Questo, lasciatemi dire, è un dettaglio trascurato da molti governi.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef
