DATA Collection - n. 6-Luglio2001

Hard & Soft

SMART CARD, TOKEN, IMPRONTE DIGITALI E LEGGE SULLA PRIVACY

Sicurezza dei dati aziendali e uso delle nuove tecnologie: le soluzioni più efficaci e più facilmente utilizzabili per garantire, in ottemperanza alla legge 675 del 1996, la protezione delle informazioni. Ecco l’opinione e la proposta di un protagonista

Poiché è a tutti gli effetti entrata in vigore la legge 675 del 1996 che rende responsabile ogni azienda della custodia dei suoi archivi, quest’ultima risponde anche dell’uso improprio che i suoi dipendenti possono fare di tali dati, a nome dell’azienda o proprio. Il legislatore costringe pertanto a fare quello a cui ogni azienda avrebbe dovuto provvedere di sua iniziativa per salvaguardare il suo business. L’uso improprio dei dati è  anche il fornire alla concorrenza informazioni riservate, per semplici sviste o per dolo e l’esigenza di proteggere i propri database è sempre più sentita per l’apertura dei sistemi informatici ad Internet. Le aziende quindi, oltre a mettersi in regola con la legge, possono fare oggi qualcosa di serio, non tanto per rispondere formalmente alle “misure minime di sicurezza” ma per realizzare un sistema di sicurezza interna efficiente ed affidabile.   

Non si tratta di vedere come proteggere i sistemi interni da indebiti accessi dall’esterno mediante ad esempio firewall o prodotti simili hw o sw; la questione consiste invece nell’analizzare come si possono proteggere i dati relativi all’azienda, soprattutto se riservati, da utilizzi illeciti o semplicemente inopportuni.

Sentiamo in merito l’opinione dell’ing. Giulio Camagni, presidente di Partner Data, società che da più di un decennio si occupa con successo di sicurezza informatica.

Password e PIN

Proteggere l’accesso al PC con semplici password è quanto mai poco sicuro: solo password composte da più di 6 caratteri e che non compongano una parola, magari il nome di nostra figlia, ma siano del tipo @>X6?h[F danno un minimo di garanzia; ma poi come fare per ricordarle? Tra PIN delle carte di credito, PIN del cellulare, codici di accesso ai vari siti cui siamo abituati ad accedere, da quelli della banca on-line a quelli dei nostri fornitori, dovremmo tenerne un elenco non indifferente; come e dove nasconderlo ma averlo a portata di mano quando serve? Oggi le smartcard ed i token, le chiavette USB definibili come semplici smartcard senza necessità di drive di lettura, insieme con gli appositi programmi, costituiscono una risposta eccellente; senza la corretta smartcard (che sta normalmente nel portafogli) o il token (che sta nel portachiavi) non si accede né al PC né alla rete. Inoltre un buon programma di protezione oggi permette anche la cifratura immediata di archivi particolarmente sensibili che, solo in presenza dell’opportuna smartcard, possono essere utilizzati. Quindi anche la sottrazione del PC e l’attacco al suo disco con sofisticati programmi non permette di leggere quei dati; e pensiamo come è facile perdere o rubare un notebook.

Aanche le smartcard possono però essere dimenticate a casa, o perse, o sottratte ed inoltre spesso, per maggior sicurezza le attiviamo con un PIN che siamo costretti a ricordarci. Ed allora perché non utilizzare la nostra impronta digitale, una chiave assolutamente personale, che sempre è con noi e che nessuno ci può sottrarre?

La tecnologia ha reso disponibili lettori di impronta digitale di facilissimo uso, altamente sicuri e di costi accessibili; sono in genere piccoli strumenti, grandi non più di una scatola di cerini, che in meno di un secondo leggono l’impronta, la confrontano con quella registrata e quindi autorizzano l’accesso al PC, alla rete, al disco cifrato od a quant’altro previsto. Non è un piccolo vantaggio per le aziende medio grosse quello di evitare la gestione del “parco smartcard”: cioè la loro registrazione per ogni utente, la loro sostituzione quando perse. La soluzione proposta da Partner Data consiste nel PB100 di Precise Biometrics, un piccolo dispositivo composto da una smartcard abbinata ad uno strumento di riconoscimento dell’impronta digitale. In questo modo, si ottiene una doppia sicurezza e maggiore comodità di utilizzo visto che non è necessario ricordarsi di alcun numero o password. Infatti, questo sistema di sicurezza si avvale dell’uso della smartcard, che ormai si sta sempre più imponendo come il naturale sostituto delle tradizionali password, difficili da ricordare per gli utenti e facili da intercettare per gli hacker. Con l’impronta si elimina quindi anche il PIN della smartcard. Ma come gestire in sicurezza tutte quelle password che certi siti Internet ma anche molte applicazioni ci costringono a utilizzare? Con il rilevatore di impronte, ma anche con smartcard e Token, possiamo utilizzare un particolare programma che è in grado di intercettare ogni richiesta di password e di abbinarla all’impronta: quando ad esempio vogliamo verificare il nostro estratto conto e la nostra banca on line ci chiede di identificarci e di presentare la password, noi semplicemente ci identifichiamo con la nostra impronta ed il programma fornisce ID e password corretta.

Privacy garantita

L’uso dell’impronta digitale sembra proprio una grande opportunità per garantire sicurezza ed al contempo semplificare le procedure ma, per una questione di privacy, non tutti sembrano disposti a concedere la propria impronta all’azienda: ma le cose non stanno proprio così. Lo scanner legge infatti l’impronta e da questa ottiene un codice, secondo i lettori da 128 byte a 1.5 Kb; ed è questo che viene registrato, non l’immagine dell’impronta; e da questo codice non è certo possibile fare il processo inverso, ciò ricostruire l’impronta. Se poi non si vuole neppure fornire quel codice possiamo utilizzare un lettore di impronta con integrato un lettore di smartcard: in tal caso il codice viene registrato nella smartcard che resta in possesso del singolo individuo e non dell’organizzazione. In conclusione, si può affermare che la tecnologia, in termini di protezioni oggi disponibili e a costi accessibili, può aiutare non poco. Anche se la lotta tra chi costruisce lucchetti e chi tenta di forzarli non avrà mai fine e nessuno potrà mai vantarsi di costruire la cassaforte invulnerabile, bisogna utilizzare questi strumenti, senza aspettare che i ladri siano entrati per rinforzare le difese.