Il tassello mancante della triade CIA

Il titolo – pur evocando un vecchio film cinese – riguarda invece la sicurezza ICT, “sdoganando” il concetto di autenticità in ambiti ICT.

Per decenni, la sicurezza delle informazioni è stata costruita intorno a tre pilastri fondamentali: Riservatezza, Integrità e Disponibilità. Questo modello, noto come “triade CIA”, è stato un punto di riferimento per progettare sistemi e strategie. Tuttavia, in un contesto tecnologico sempre più complesso, questo modello lascia scoperto un aspetto cruciale: l’autenticità.

La direttiva NIS2, riconoscendo l’autenticità come parte integrante della sicurezza, ha colmato questa lacuna. Ma cosa significa autenticità in ambito IT? E quali sono i rischi quando manca? Questo nostro approfondimento esplora l’evoluzione della triade verso un modello più completo: R-I-D-A.

La “antica triade”: un modello incompleto

La vecchia triade R-I-D (Riservatezza-Integrità-Disponibilità) o C-I-A (Confidentiality-Integrity-Availability) si basa su tre aspetti:

  • Riservatezza/Confidentiality: garantire che solo le persone autorizzate abbiano accesso ai dati.
  • Integrità/Integrity: assicurare che i dati non vengano alterati o manipolati in modo non autorizzato.
  • Disponibilità/Availability: garantire la disponibilità di dati e i servizi, quando è necessario (sulla base delle SLA).

Questi tre pilastri rimangono fondamentali, ma non affrontano alcune minacce sofisticate:

  • La falsificazione di identità.
  • La creazione di reti false o di dati fraudolenti.
  • La mancanza di fiducia nelle comunicazioni e nei sistemi ICT.

In un mondo in cui gli attacchi informatici diventano sempre più avanzati, è evidente che il modello della sicurezza ICT necessita di un quarto elemento: l’autenticità.

L’autenticità: il pezzo mancante del puzzle

L’autenticità garantisce che:

  1. I dati siano quelli dichiarati e non siano stati falsificati.
  2. Le identità degli utenti o dei dispositivi siano reali e verificabili.
  3. Le comunicazioni provengano da fonti affidabili.
  4. Chi ha fatto cosa sia certo.

Il riconoscimento dell’autenticità nella NIS2 (art. 6, definizioni, comma 2) segna un cambio di paradigma. Per la prima volta, si parla esplicitamente di sicurezza come la capacità di resistere a eventi che potrebbero compromettere disponibilità, autenticità, integrità e riservatezza. Questo quarto pilastro non è solo un’aggiunta teorica, ma una necessità pratica per fronteggiare le minacce moderne.

Esempi di problemi reali causati dalla mancanza di autenticità

False BTS (Base Transceiver Station)
Un attaccante installa una stazione base mobile “fake” per catturare il traffico telefonico e dati degli utenti in zona. I telefoni, non potendo verificare l’autenticità della rete, si connettono automaticamente.
Conseguenze: intercettazione di chiamate e dati sensibili, tracciamento degli utenti.

Reti Wi-Fi rogue
Una rete Wi-Fi falsa, con un nome che imita una rete legittima (es. “Free_WiFi_Hotel”), induce gli utenti a connettersi.
Conseguenze: intercettazione del traffico, furto di credenziali e attacchi di phishing.

Phishing tramite email fraudolente
Un attaccante invia email falsificate da fonti apparentemente affidabili.
Conseguenze: furto di credenziali, installazione di malware, compromissione dei sistemi.

Deepfake
Video o audio contraffatti vengono utilizzati per impersonare dirigenti, ottenendo trasferimenti bancari o accessi non autorizzati.
Conseguenze: perdite economiche e danni reputazionali.

Log falsificati
Gli attaccanti manipolano i registri di sicurezza per coprire tracce di intrusioni.
Conseguenze: difficoltà nelle indagini. depistaggio e mancato rilevamento degli eventi malevoli occorsi.

Telefonate con falso identificativo (caller ID spoofing)
Gli attaccanti utilizzano tecniche di spoofing per manipolare il numero visualizzato sul telefono del destinatario, facendo sembrare la chiamata proveniente da una fonte legittima, come una banca o un’istituzione governativa.
Problema di autenticità: Il destinatario non ha modo di verificare l’identità reale del chiamante.i telefoniche.
Conseguenze: Gli utenti possono essere indotti a fornire informazioni sensibili (es. credenziali di accesso, dati bancari). Facilitazione di truffe come il vishing (voice phishing).

Come integrare l’autenticità nella sicurezza IT

Per incorporare l’autenticità come quarto pilastro, sono necessarie tecnologie e approcci specifici, tra i quali:

  • Certificati digitali: Verificano l’identità di server, dispositivi e utenti.
  • DNSSEC: Protegge l’autenticità delle risposte DNS, prevenendo il dirottamento dei domini.
  • PKI (Infrastruttura a Chiave Pubblica): Fornisce una base solida per la firma digitale e la crittografia.
  • Autenticazione multifattoriale (MFA): Aggiunge livelli di verifica per utenti e dispositivi.
  • Firme digitali: Garantiscono che documenti e log siano autentici e non alterati.
  • 802.1X con RADIUS (Remote Authentication Dial-In User Service): Standard di autenticazione di rete che utilizza un server RADIUS per verificare l’identità di dispositivi che tentano di accedere alla rete. Richiede credenziali, certificati digitali o autenticazione basata su token per consentire l’accesso alle reti wired e wireless.

Normative come la NIS2 e il GDPR richiedono alle organizzazioni di adottare misure che incorporino l’autenticità, non solo come obbligo legale, ma come strumento per rafforzare la fiducia nei sistemi IT.

Conclusione

Per anni, la triade R-I-D ha rappresentato il modello base della sicurezza IT; da parte nostra abbiamo sempre ritenuto l’autenticita come il tassello mancante alla TRIADE (oggi la chiameremo TETRADE?). La NIS2 ha finalmente sdoganato l’aspetto cruciale dell’autenticità, completando il modello RID con un quarto pilastro, e passando quindi a RIDA. Questo passaggio da triade a quadrilatero della sicurezza ICT non è solo un aggiornamento teorico, ma una necessità pratica per proteggere i dati e le comunicazioni in un mondo sempre più interconnesso.

È ora di riconoscere il pezzo mancante della triade e costruire strategie di sicurezza che abbraccino davvero tutte le sfide moderne.

I NOSTRI APPROFONDIMENTI SU CYBERSECURITY E SICUREZZA ICT

FAQ NIS2

Le nostra raccolta di Frequently Asked Questions sulla Direttiva NIS2 Cos’è la Direttiva NIS2? La…

Leggi…

Caso Equalize

Appare chiarissimo che l’ultimo “caso Equalize” certifica un livello di inadeguatezza della cybersecurity delle banche…

Leggi…

Report AGID malware 2023

AGID ha reso disponibile il suo “Report riepilogativo sull’andamento delle campagne malevole che hanno interessato…

Leggi…