Questo è il primo articolo di una serie di approfondimenti redatti da Vito Sinforoso, dedicati alle soluzioni di Data Loss Prevention (DLP) e alla normativa sulla privacy e sui diritti dei lavoratori. In questo articolo, si esplora l’origine di Internet, l’evoluzione delle minacce alla sicurezza dei dati e l’importanza sempre più centrale delle strategie di protezione, con particolare attenzione alla Data Loss Prevention.
La Data Loss Prevention viene presentata come un insieme di processi, tecniche e strumenti volti a prevenire la perdita e la violazione dei dati sensibili. L’articolo descrive come le soluzioni DLP operino attraverso l’identificazione dei dati da proteggere, il monitoraggio delle azioni degli utenti e l’applicazione di regole di protezione. Si evidenzia l’importanza di implementare queste soluzioni in modo mirato, per garantire la sicurezza senza compromettere l’operatività aziendale.
Dalle Origini Militari di ARPANET all’Internet Moderno: Un Viaggio nella Storia della Rete
L’origine della rete Internet deve rinvenirsi in un progetto di ricerca militare condotto negli Stati Uniti negli anni ‘60, noto come ARPANET (Advanced Research Projects Agency Network). Il progetto, finanziato dall’ARPA[1], aveva lo scopo di creare una rete di comunicazioni in grado di resistere a eventuali interruzioni o guasti, in particolare in contesti di guerra o di altre emergenze.
Il concetto chiave che permise lo sviluppo di ARPANET e, successivamente di Internet, è stato quello della commutazione a pacchetto. Questa tecnologia, proposta indipendentemente da Paul Baran e Donald Davies negli anni ‘60, consente la trasmissione di dati in piccoli blocchi (pacchetti) che vengono inviati attraverso la rete in modo indipendente e possono seguire percorsi diversi per raggiungere la medesima destinazione, dove vengono nuovamente assemblati nell’ordine corretto[2].
Il primo collegamento di ARPANET fu stabilito il 29 ottobre 1969, collegando quattro nodi universitari: le Università della California, Los Angeles (UCLA) e Santa Barbara (UCSB), l’Istituto di Ricerca di Stanford (SRI) e l’Università dello Utah. Questo collegamento ha segnato la nascita di quello che sarebbe diventato Internet.
L’Espansione della Rete: Dal TCP/IP alla Globalizzazione di Internet
Negli anni ‘70 e ‘80, la rete si è espansa significativamente, includendo non solo istituzioni militari e di ricerca, ma anche università e, infine, altri settori pubblici e privati. Un momento cruciale per lo sviluppo di Internet è stato l’introduzione del protocollo TCP/IP (Transmission Control Protocol/Internet Protocol)[3] il 1° gennaio 1983, che ha standardizzato la comunicazione tra i diversi sistemi informatici, rendendo possibile l’interconnessione di reti eterogenee in un’unica “rete di reti” globale.
La Sicurezza dei Dati nell’Era Digitale
Una semplice riflessione consente di realizzare come la sicurezza nella trasmissione dei dati fosse un’esigenza già avvertita agli albori di Internet, anzi forse è più corretto affermare che fosse un prerequisito del progetto ARPANET.
Con il dilagante diffondersi di Internet e di tutte le sue applicazioni, questa tecnologia ha raggiunto masse enormi di soggetti, differenti tra loro quanto a capacità di intuirne le potenzialità ed i rischi: Internet ha messo in comunicazione istituzioni civili e militari, aziende di ogni dimensione e soprattutto miliardi di persone, ma anche singoli criminali ed intere organizzazioni dedite a traffici illeciti di ogni genere
Gli utilizzatori normali (intendendo per tali le persone che normalmente utilizzano la rete per lavoro, divertimento, comunicazione, informazione e quant’altro), in particolare, sono apparsi sin da subito i soggetti più vulnerabili, sebbene non gli unici, in quanto meno tecnologicamente strutturati e consapevoli dei pericoli connessi; al contempo, sono stati i soggetti più ammaliati dalle innovazioni rivoluzionarie messe a loro disposizione da Internet.
Anche gli altri attori (le istituzioni e le imprese), veri depositari di strabilianti quantità di dati, il più delle volte di tipo personale, continuano a conoscere, a spese loro e dei loro utenti, le proprie vulnerabilità e quanto siano oggetto nel mirino del cyber crime.
La Tutela dei Dati Personali: Un’Esigenza Crescente nell’Era di Internet
La tutela dei dati, in particolare di quelli personali[4], e dei procedimenti secondo cui vengono trattati ha assunto un’importanza sempre più rilevante, cresciuta di pari passo con lo svilupparsi della rete e dell’intrusività delle sue applicazioni nella vita di ogni cittadino.
In questo contesto e per queste ragioni, sono stati emanati vari provvedimenti normativi, sia a livello internazionale che nazionale, che hanno posto sempre più l’attenzione, tra l’altro, sugli aspetti di sicurezza connessi alle criticità ed alle problematiche derivanti dal diffuso uso di Internet e dallo scambio di dati attraverso di essa.
A detta normativa, si sono affiancati, anche perché in più occasioni espressamente richiamati dalla prima, documenti pubblicati da vari enti, governativi, universitari e privati, che hanno proposto degli standard di sicurezza a cui attenersi per mitigare i rischi connessi con il trattamento e la trasmissione dei dati.
Data Loss Prevention: Cause, Rischi e Strategie di Prevenzione
Con l’aumentare della raccolta di dati da parte di istituzioni e di aziende e a causa di un uso sempre più frequente di dispositivi e servizi online, i dati personali vengono sempre più facilmente condivisi in rete, con una conseguente maggior probabilità che si verifichi una perdita o una fuga degli stessi, ossia una c.d. Data Loss (perdita di dati).
Molteplici sono i canali attraverso cui si può verificare una Data Loss, tra i quali i più comuni sono la trasmissione di email e l’impiego di dispositivi rimovibili, tipo chiavette USB, hard disk esterni o CD/DVD.
A ciò si aggiunga quella che può essere, a ragione, considerata la causa principale della perdita di dati ossia il comportamento umano, in considerazione della non sufficiente consapevolezza con cui gli esseri umani, nel loro essere imperfetti, manipolano quotidianamente una enorme quantità di dati che possono essere accidentalmente eliminati, sovrascritti o inconsapevolmente divulgati.
Attacchi Informatici e Malware: Minacce Crescenti alla Sicurezza dei Dati
Un’altra delle cause principali della Data Loss è connessa agli attacchi informatici e alla inoculazione di malware o virus che infettano i computer degli utenti, risultando fonte potenziale di furti ed eliminazione di file non protetti.
Per mitigare il rischio di perdita di dati, le organizzazioni devono adottare una strategia di protezione dei dati multilivello che includa backup regolari, piani di disaster recovery, formazione degli utenti sulla sicurezza dei dati, soluzioni di sicurezza informatica avanzate e politiche rigorose di gestione degli accessi e controllo degli insider.
Data Loss Prevention (DLP): Una Soluzione Avanzata per la Protezione dei Dati
Una delle opzioni in grado di mitigare il rischio di potenziali Data Loss consiste nell’implementazione di una soluzione di Data Loss Prevention (DLP), ossia l’insieme dei processi, delle tecniche e degli strumenti per prevenire perdite e violazioni dei dati.
Si tratta, quindi, di un sistema che ha l’obiettivo di proteggere i dati ed evitare che questi vengano persi o resi inaccessibili, nell’intento di garantire un elevato livello di sicurezza rispettando gli standard a cui rinvia la legge. Un processo di trattamento dei dati basato su una soluzione DLP permette di identificare i dati da proteggere e monitorare le azioni svolte dagli utenti che li manipolano, al fine di evitare che ci sia una perdita degli stessi, mediante la definizione di un insieme di regole di classificazione e di protezione.
Le regole di classificazione permettono di identificare i soli dati da tutelare attraverso l’applicazione di un tag o di un’etichetta di classificazione, mentre le regole di protezione consentono di monitorare le azioni svolte dagli utenti che utilizzano i dati ed eventualmente bloccarne l’azione svolta per evitare che ci sia una fuga o una perdita di dati.
Implementazione Efficace di Soluzioni di Data Loss Prevention
Queste regole vengono applicate ad un perimetro ristretto di utenti e quindi a un numero ristretto di apparati, ossia quelli utilizzati dai soli operatori che manipolano dati da tutelare e senza impattare negativamente sulla loro operatività.
Affinché una regola possa ritenersi efficace, è necessario che questa sia anche in grado di individuare nuove fonti di dati in tempi ragionevoli e che sia in condizione di continuare a funzionare in modo appropriato anche a seguito di un cambio delle condizioni, quale potrebbe essere l’applicazione di una nuova release.
L’articolo sottolinea l’importanza crescente della Data Loss Prevention nell’ecosistema della sicurezza informatica. Si evidenzia come una strategia di Data Loss Prevention efficace non solo protegga i dati sensibili, ma contribuisca anche al rispetto delle normative sulla privacy e alla salvaguardia della reputazione aziendale.
Nei prossimi articoli della serie, verranno approfondite le cause specifiche della perdita di dati e saranno esaminati in dettaglio i fondamenti tecnici e operativi della Data Loss Prevention, offrendo ai lettori una comprensione completa di questa tecnologia essenziale per la sicurezza dei dati nell’era digitale.
Per approfondire il tema vi invitiamo alla lettura del white paper completo a cura di Vito Sinforoso “Data Loss Prevention: Privacy e Diritti dei Lavoratori“.
Note bibliografiche
[1] Ora DARPA, Defense Advanced Research Projects Agency, un’Agenzia del Dipartimento della Difesa degli Stati Uniti. Obiettivo dell’ARPA era quello di creare una rete di computer che potesse funzionare anche in caso di danneggiamento degli elaboratori principali.
[2]Paul Baran pubblicò nel 1964 uno studio sulla trasmissione dei dati, che venne subito apprezzato dal Ministero della Difesa degli Stati Uniti. L’obiettivo di Baran era neutralizzare la posizione instabile di due potenze nucleari nevrotiche che cercavano di distruggersi l’un l’altra. Egli ritenne che con un sistema di comunicazione vulnerabile, ci poteva essere una pericolosa tentazione per entrambe le parti di fraintendere le azioni dell’altra e quindi attaccare per primi. Baran utilizzò l’esempio di una rete telefonica per descrivere il suo progetto. La rete telefonica nei suoi punti centrali, quelli che gestivano il traffico delle comunicazioni, era chiaramente vulnerabile; se qualcuno di questi fosse stato neutralizzato l’intera rete telefonica sarebbe stata inutilizzabile.
Occorreva quindi costruire una rete in cui, anche se i centri nevralgici fossero andati distrutti, le comunicazioni sarebbero state in grado di circolare comunque, permettendo così ai comandi militari di mantenere il controllo. L’idea di Baran era di prevedere una rete in cui ogni computer sarebbe stato connesso a diversi altri vicini (almeno tre o quattro).
Calcolò quante connessioni erano necessarie affinché un elaboratore avesse una probabilità ragionevole di rimanere connesso in seguito a un attacco. Con questo calcolo giunse al risultato che uno qualsiasi dei nodi (computer) sopravvissuto a un attacco, sarebbe quasi sempre stato in grado di comunicare col gruppo più vasto di computer rimasti funzionanti. L’assenza di nodi principali eliminava ogni possibile attacco strategico.
Dopo aver concluso che era possibile costruire, con relativa facilità, una rete decentralizzata, ridondante e sufficientemente robusta, Baran cominciò a riflettere sulla trasmissione dei messaggi in rete. I risultati del suo studio lo portarono a dedurre che i messaggi piuttosto che essere spediti in un blocco unico, potevano essere spezzati in “blocchi a formato standardizzato” ottenendo così una maggiore velocità di trasmissione e una comunicazione più sicura.
In quegli stessi anni, Donald Davies, un fisico inglese che lavorava al National Physical Laboratory, in modo del tutto indipendente, giunse a conclusioni assai simili a quelle di Baran, partendo da premesse diverse.
Il suo scopo, infatti, era quello di creare una rete pubblica abbastanza veloce ed efficiente per permettere agli utenti di sfruttare le capacità di elaborazione dei computer anche a notevole distanza, senza che le differenze di sistema operativo condizionassero la comunicazione. La soluzione trovata da Davies si basava sull’idea di suddividere i messaggi da inviare in più parti: in questo modo un computer avrebbe potuto gestire l’invio e la ricezione di molti messaggi contemporaneamente, suddividendo il tempo di elaborazione per ciascun messaggio in ragione dei blocchi di dati. Denominò tali parti di messaggio “pacchetto (packet) di dati” e il sistema di comunicazione “commutazione di pacchetto” (packet switching), alternativo alla “commutazione di circuito” dei sistemi tradizionali.
Fonte: https://storiadiinternet.wordpress.com/le-origini-di-internet/commutazione-a-pacchetto/ (consultato in data: 30/01/2024).
[3] Il TCP/IP assicura la comunicazione fra reti formate da nodi basati su un’ampia gamma di hardware e architetture di sistemi operativi. E in altre parole realizza efficacemente la connessione di sistemi e reti eterogenei. Oggi il TCP/IP è diventato il protocollo più utilizzato al mondo e supporta tutte piattaforme di rete sul mercato. TCP/IP è una specifica che definisce una serie di protocolli usati per standardizzare come due o più computer scambiano informazioni gli uni con gli altri.
Fonte: https://www3.diism.unisi.it/~giambene/reti_di_telecomunicazioni_materiale/materiale_didattico/Vecchio_Ordinamento_e_Specialistica/TCP_IP_Pasqualetti.pdf (consultato in data 22/02/2024).
[4]Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, “Regolamento generale sulla protezione dei dati” (RGPD/GDPR), all’art. 4 definisce il “«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”.
Vito Sinforoso è dipendente presso una pubblica amministrazione centrale, nell’ambito della quale ha svolto vari incarichi, dedicandosi negli ultimi anni alla gestione di alcuni degli aspetti relativi al settore telematico della p.a., con particolare riferimento a quelli delle telecomunicazioni.
Laureato in giurisprudenza presso l’Università Tor Vergata di Roma, ha seguito nel 2023 un Master di 2° livello dal titolo “Informatica giuridica, nuove tecnologie e diritto dell’informatica” presso l’Università Sapienza di Roma.
https://www.ictsecuritymagazine.com/articoli/data-loss-prevention/