INFORMATICA: La guerra si combatte anche sul web, i fondamenti per la sicurezza informatica

Anche in informatica possono avvenire i crimini, che non mettono in pericolo la salute delle persone ma possono arrecare altri tipi di danno ai dispositivi e/o al loro contenuto.

Con il conflitto tra Russia e Ucraina in rete si sono verificati un maggior numero di problemi, le cui conseguenze potrebbero essere estremamente gravi per gli utenti, in particolare quando nei sistemi sono custoditi dati sensibili come nel caso degli studi medici.

Di seguito alcune delle ripercussioni più comuni:

La maggior parte dei casi di infezione del dispositivo avviene durante l’uso fintanto che quest’ultimo è connesso alla rete internet, ad esempio accedendo a siti non sicuri, installando programmi di dubbia provenienza oppure anche aprendo allegati alle e-mail che possono contenere virus.

Fintanto che si è connessi alla rete pubblica bisogna quindi sempre prestare molta attenzione.

A seguire le principali forme di infezione e vulnerabilità dei dispositivi informatici, considerando che l’applicazione di una di queste non preclude l’avvenire di altre, pertanto queste possono lavorare da sole o in combinazione tra loro:

Non è però soltanto alla rete pubblica che bisogna prestare attenzione.

Il fatto di non connettere il proprio dispositivo alla rete internet non lo protegge totalmente da questo genere di problemi, infatti bisogna sempre prestare attenzione a chi ha accesso alle prossimità dei nostri dispositivi.

Un malintenzionato può causare problemi anche se il dispositivo è offline.

Infatti il criminale interessato a violare il dispositivo della vittima potrebbe infettarlo con un software malevolo (denominato “malware”), anche tramite dispositivi di archiviazione come semplici pen-drive (comunemente dette “chiavette”) collegabili via USB o altrimenti anche accedendo alla rete locale con la vostra password del wifi.

Il malware, una volta arrivato sul dispositivo, si auto-installa nel dispositivo senza palesarsi ed esegue diverse azioni nascoste all’utente, spesso con differenti scopi:

La massima attenzione durante la navigazione online va posta anche nei confronti degli annunci o delle comunicazioni che si ricevono, perchè alcune volte possono nascondere truffe ai danni degli utenti connessi.

Per quanto riguarda le truffe online, le più diffuse prevedono:

In particolare la distinzione tra il furto di denaro e le truffe è che mentre nel primo caso il criminale accede ai fondi senza che la vittima ne sia consapevole, nel secondo è proprio la vittima che consapevolmente versa il proprio denaro al criminale, dopo essere stato raggirato sulla natura del prodotto o servizio che intendeva acquistare.

PREVENZIONE: CONSIGLI PRATICI

Per evitare di cadere in queste trappole, la prima difesa che ognuno di noi dovrebbe avere è il buon senso e un utilizzo cauto dei sistemi informatici.

Attualmente la maggior parte dei malware arriva a noi tramite la posta elettronica, pertanto bisogna sempre:

Per quanto riguarda gli acquisti online converrebbe:

LA PASSWORD

Per accedere ad un servizio online al momento della registrazione ci vengono solitamente richiesti username, email e password. Per molti siti username ed email coincidono.

Da svariate ricerche è emerso che la maggior parte delle persone utilizza la stessa mail e la stessa password, oppure una singola password leggermente modificata, per tanti siti diversi.

Da questo tipo di pratica nasce un grande problema: tutte queste persone sono esposte ad attacchi senza esserne consapevoli.

Il rischio elevato del verificarsi di questi casi è dato dal fatto che di tanto in tanto, non solo i piccoli ma anche grandi siti potrebbero aver subito dei data breach (ovvero una perdita di dati) che il più delle volte includono email, password, dati personali e fiscali dei loro utenti.

Quindi molti criminali, dopo aver ottenuto questi dati, provano ad ottenerne una remunerazione economica usando le stesse credenziali di un utente su molti siti fino a quando non riescono ad effettuare un furto di dati o di denaro.

Per verificare se la propria e-mail è mai stata inclusa negli elenchi a cui hanno avuto accesso questi criminali, è possibile verificare su https://haveibeenpwned.com/

È possibile prevenire questo tipo di rischio significativamente, seguendo queste avvertenze:

  1. Usare password diverse e dissimili tra loro per tutti i siti, meglio ancora se generate casualmente;
  2. Le password dovrebbero essere lunghe almeno 8 caratteri e contenere simboli, lettere maiuscole e minuscole, e numeri;
  3. Per semplificare la memorizzazione e l’utilizzo delle password, è possibile usare dei programmi noti come Password Manager (ad esempio LastPass, 1Password, Keeper, Dashlane, ecc).

In ogni caso è sempre utile che le proprie credenziali di accesso siano il proprio principale sistema di riconoscimento e devono sempre essere conservate con la massima cautela, non è quindi il caso di conservarle in posti a cui potrebbero accedere altre persone e non andrebbero mai condivise con nessuno.

LA SICUREZZA DEI DATI

Per lo studio odontoiatrico i dati dei pazienti oltre ad essere estremamente sensibili sono fondamentali allo svolgimento della professione medica, ed è anche per questo cruciale che non vadano mai persi e/o corrotti.

Questo principio di buon senso è ribadito più volte all’interno delle norme del GDPR (General Data Protection and Regulation) ovvero la nuova normativa per la privacy entrata in vigore nel 2018 in Italia.

I dati sono a rischio sia che siano in formato analogico (cartaceo) o digitale.

Per esempio, in caso di incendio nello studio rischieremmo di perdere tutte le cartelle cartacee e le lastre in acetato dei pazienti.

Allo stesso modo, qualora si rompesse un hard disk nel quale abbiamo raccolto tutte le copie dei dati dei pazienti, da un momento all’altro ci troveremmo senza la possibilità di utilizzarli.

Essendo questo argomento dedicato all’informatica, ci dedicheremo esclusivamente alla salvaguardia dei dati digitali.

La prima regola per la protezione dei dati è avere delle copie di backup, ovvero copie ausiliarie dei dati che ci proteggano principalmente dai guasti tecnici.

Qualora infatti si dovesse rompere un hard disk in cui abbiamo salvato i dati, dovremo averne uno aggiuntivo aggiornato fino all’ultimo momento così da poterlo utilizzare per continuare la nostra attività clinica con i dati dei pazienti.

Spesso e volentieri i dati non sono salvati su un singolo hard disk o dispositivo, ma su dispositivi denominati NAS, ovvero dispositivi server (dispositivi simili a computer che elaborano e gestiscono i dati all’interno di una rete) collegati ad una rete locale.

Talvolta, una parte dei dati può essere salvata in cloud (ovvero su dei server su internet e non fisicamente presenti nel nostro studio).

Dopo aver parlato della protezione dei dati da rottura dell’hardware, è necessario parlare di un altro tipo di protezione: quello dagli accessi indesiderati.

Elenchiamo i principali metodi per prevenire gli accessi non previsti, o comunque non desiderati:

  1. Per prevenire l’accesso da remoto (online) da malintenzionati, è obbligatorio l’utilizzo di un firewall che blocca gli accessi non consentiti. Il firewall può essere sia un software, sia un hardware, sia una combinazione di entrambi;
  2. Per prevenire gli attacchi con malware, sarà necessario l’utilizzo di antivirus, che hanno lo scopo di prevenire l’installazione di malware o, nel caso sia riuscito in ogni caso ad installarsi, di eliminarlo il più rapidamente possibile in modo che non possa essere arrecato nessun danno;
  3. Qualora una persona riesca fisicamente ad accedere ad uno dei nostri computer, sarà necessaria la protezione con password del computer per poterlo accendere ed utilizzare;
  4. Se un malintenzionato riuscisse ad evitare tutte queste difese, per rendere illeggibili i dati alle persone esterne si ricorre alla crittografia dei dati. La crittografia è la base della protezione dei dati ed è il modo più semplice e importante per garantire che le informazioni di un sistema informatico non possano essere rubate e lette da qualcuno che voglia utilizzarle per scopi malevoli. Le informazioni vengono cifrate mediante un algoritmo e possono essere decodificate (rese leggibili) alla destinazione solo con la password (chiave) appropriata. La chiave può essere memorizzata nel sistema ricevente oppure trasmessa insieme ai dati criptati.

Visto l’excursus fatto alla luce di ciò che abbiamo affrontato è consigliato seguire i seguenti consigli pratici:

  1. non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione esplicita dell’amministratore di sistema, in quanto sussiste il grave pericolo di portare virus e di creare rischi seri per la sicurezza informatica.
  2. non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dal responsabile dei sistemi informatici. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti del sistema per incompatibilità con il software esistente, può esporre a gravi responsabilità civili ed anche penali in caso di violazione della normativa a tutela dei diritti d’autore sul software.
  3. non è consentito modificare le caratteristiche impostate sul proprio PC, salvo previa autorizzazione esplicita dell’amministratore di sistema. Il personal computer, inoltre, deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio.
  4. non è consentita l’installazione sul proprio PC di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, ecc…), se non con l’autorizzazione espressa dell’amministratore di sistema. A tal proposito sarebbe altamente consigliato impedire la possibilità per i dipendenti/incaricati di poter salvare i dati e portarli all’esterno bloccando, per esempio, gli accessi alle usb o adottando procedure analoghe.
  5. l’accesso agli strumenti è protetto da password, per l’accesso devono essere utilizzati Username e password assegnate dall’Amministratore di Sistema. A tal proposito si rammenta che essi sono strettamente personali e si è tenuti a conservarli nella massima segretezza. Certamente non con post-it attaccati al PC.
  6. Occorre sapere che i log (gli accessi) relativi all’utilizzo di strumenti, reperibili nella memoria degli Strumenti stessi ovvero sui server o sui router, nonché i file con essi trattati sono registrati e possono essere oggetto di controllo da parte del titolare, attraverso l’amministratore di sistema.
  7. L’iscrizione a mailing-list o newsletter esterne è concessa esclusivamente per motivi professionali. Prima di iscriversi occorre verificare anticipatamente l’affidabilità del sito che offre il servizio.
  8. L’utilizzo dell’e-mail deve essere limitato esclusivamente per scopi lavorativi, ed è assolutamente vietato ogni utilizzo di tipo privato.
  9. È buona norma evitare messaggi completamente estranei al rapporto di lavoro. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.
  10. È vietato inviare catene telematiche (dette di Sant’Antonio). Se si ricevono messaggi di tale tipo, occorre comunicarlo tempestivamente all’amministratore di sistema. Non si devono in alcun caso attivare gli allegati di tali messaggi.
  11. È fatto divieto di utilizzare la caselle di posta elettronica di studio per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mailing-list salvo diversa ed esplicita autorizzazione.
  12. È obbligatorio controllare i file allegati di posta elettronica prima del loro utilizzo. In particolare, si deve evitare, secondo le regole di buona diligenza, l’apertura e la lettura di messaggi di posta elettronica in arrivo provenienti da mittenti di cui non si conosce con certezza l’identità o che contengano allegati del tipo .exe, .com, .vbs, .htm, .scr, .bat, .js, .pif.