Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Sicurezza informatica

testo2

annuncio pubblicitario 
REATI INFORMATICI, MITI E REALTA'
Delitti e tecnologie
I libri di storia dimostrano che ogni innovazione, per quanto banale, indipendentemente dal
settore cui si riferisce, comporta problemi sociali, culturali, economici e giuridici, scaturenti
dalle difficoltà che la società incontra nell'adeguarsi al nuovo ordine delle cose determinato dal
cambiamento.
Ciò è vero, in particolare, per il progresso tecnologico, nonostante la rivoluzione che più di ogni
altra sembra aver segnato la storia non possa ricondursi ad una realtà tecnologica, ma alla vita
di Gesù Cristo e al successivo avvento del Cristianesimo.
Questa trasformazione, che mostra interessanti parallelismi con la rivoluzione informatica, fu
vissuta negativamente dall'impero romano, disorientato dalla nuova religione basata sul
perdono e sull'amore verso il nemico, che si contrapponeva ad ogni culto fino ad allora noto,
fondato invece sulla legge del taglione, secondo la quale la miglior risposta ad ogni delitto era
costituita dalla repressione.
Il parallelismo cui si accennava non è casuale, ed è interessante soprattutto se si valuta alla
luce del vecchio principio secondo il quale “il sonno della ragione genera mostri”. L'ignoranza
rispetto al progresso, alle innovazioni, all'improvviso cambiamento, inevitabilmente si traduce
in paura, in timore di perdere il controllo della situazione, e provoca reazioni incontrollate,
irrazionali, irragionevoli, che certamente non scaturirebbero da un esame obiettivo, informato
ed equilibrato della nuova situazione.
L'introduzione di nuove tecnologie ha sempre prodotto sgomento e paura tra quanti non erano
in grado di comprenderle e dominarle. Ciò che accade attualmente in relazione a Internet, ai
sistemi informatici e telematici, alle caratteristiche proprie della “società dell'informazione”, è
esattamente quanto in passato è avvenuto per il telefono, per le onde radio, per il treno a
vapore e per il motore a scoppio.
Con una differenza sostanziale: normalmente il progresso è frutto delle ricerche di grandi
strutture pubbliche o private, che possono quindi, entro certi limiti, controllare le notizie e le
informazioni che riguardano le nuove scoperte e le nuove invenzioni. Ciò consente di decidere
se e quando divulgarle, ma, soprattutto, consente ai governi di regolamentarne l’uso e l’abuso
prima che siano disponibili ai comuni mortali.
La rivoluzione informatica, invece, è partita dal basso, dall'uomo medio – di qui il parallelismo
con il Cristianesimo, al centro del quale c'è la gente comune contrapposta ai potenti improvvisamente padrone di un nuovo universo nel quale le istituzioni non sono più in una
posizione dominante, ma alla pari, se non in netto svantaggio, rispetto agli altri soggetti
coinvolti.
La nuova situazione determinatasi a seguito della diffusione di massa dell'informatica e delle
telecomunicazioni, i nuovi assetti socio-culturali che ne sono scaturiti, hanno provocato la
reazione inconsulta di molti governi, che, proprio per la scarsa conoscenza del problema,
hanno partorito leggi spesso eccessivamente repressive e inutilmente ridondanti rispetto alle
norme già esistenti, mentre alcune aree di intervento, anche piuttosto importanti, restano
ancora oggi prive di qualsiasi regolamentazione.
Di tale situazione hanno approfittato soprattutto i criminali, rapidi più di ogni altro
nell'apprendere le potenzialità delle nuove tecnologie e nell'organizzarsi per sfruttarle.
In particolare la criminalità organizzata ha potuto riconvertire in chiave tecnologica gran parte
delle proprie attività illecite. E' sufficiente pensare ai circuiti internazionali di riciclaggio del
denaro proveniente da delitto, all'utilizzo di tecniche crittografiche e steganografiche per
coordinare le attività criminose, all'estorsione attuata mediante assalti DDOS e cifratura dei
dati, al sabotaggio di sistemi informatici e telematici, all'intercettazione di comunicazioni
finalizzata allo spionaggio industriale e militare, al commercio di materiale pedopornografico, al
reclutamento di truppe mercenarie e killer, allo sfruttamento della prostituzione, ecc..
Le nuove tecnologie dell'informazione hanno, in sostanza, creato un nuovo punto di contatto
tra la società e il diritto; una frattura all'interno della quale c'è un intero mondo da
regolamentare ed al quale risulta difficile, senza la necessaria preparazione tecnica, applicare
le leggi esistenti.
Un mondo all'interno del quale è compito arduo e complesso, anche per gli addetti ai lavori,
individuare i nuovi problemi da disciplinare in sede normativa e separarli da quelli che
attengono a fattispecie già esaminate dall'ordinamento, da aggiornare semplicemente in chiave
tecnologica.
Reati informatici e reati commessi con strumenti informatici
Occorre preliminarmente considerare che informatica e telematica sono discipline scientifiche,
peraltro neppure recenti, che permeano da qualche anno ogni attività umana, grazie alla
crescente diffusione delle nuove tecnologie dell'informazione.
Ciò comporta l'impossibilità di delineare un bene giuridico tutelabile che sia ad esse
direttamente riconducibile, dovendosi propendere, più correttamente, per un collegamento tra
le suddette discipline ed i beni che l'ordinamento già considera meritevoli di tutela, per i quali
devono semplicemente essere introdotte, ove necessario, nuove fattispecie di reato che
vadano a colmare eventuali vuoti normativi ai quali non sia applicabile la norma penale
mediante una lettura estensiva, in chiave tecnologica, della sua portata.
E' necessario inoltre distinguere le condotte delittuose strettamente connesse alle nuove
tecnologie - comportamenti che solo attraverso l'uso di strumenti informatici o telematici sono
attuabili - dai crimini c.d. tradizionali portati a termine in chiave tecnologica – per i quali l'uso
di strumenti informatici e telematici è semplicemente funzionale al raggiungimento dello scopo
prefissato.
Appare evidente che l'attuale disamina non è riferita ad un preciso ordinamento giuridico, ma
all'opportunità di disciplinare in sede normativa delle condotte oggettivamente pericolose e
lesive di beni giuridicamente protetti.
Per queste ragioni è opportuno individuare compiutamente, sebbene, per ovvi motivi, tale
enumerazione non abbia la presunzione di considerarsi esaustiva, i comportamenti
astrattamente riconducibili alla lesione di interessi e beni giuridicamente rilevanti,
distinguendo, come già accennato, i crimini informatici dai crimini tradizionali commessi con il
semplice ausilio delle nuove tecnologie.
In linea generale, la disciplina in materia di nuove tecnologie deve orientarsi nel senso di
tutelare, sia dal lato attivo che dal lato passivo:
o la libertà ogni individuo di informarsi e di esprimere il proprio pensiero, anche in
relazione alla comprensione e al libero utilizzo delle tecnologie;
o la riservatezza del "domicilio informatico";
o ogni aspetto patrimoniale o finanziario potenzialmente esposto ai rischi connessi alle
nuove tecnologie;
o i diritti connessi alle opere dell'ingegno e alle invenzioni;
o l'integrità, la confidenzialità e l'autenticità dei documenti informatici;
o la correttezza delle attività di elaborazione dati;
o la sicurezza delle trasmissioni dati;
o la riservatezza dei dati personali rispetto al trattamento da parte di terzi;
In particolare, possono essere individuate talune tipologie di condotte potenzialmente lesive di
interessi e beni giuridicamente rilevanti.
La sicurezza informatica
Appare inutile evidenziare come la sicurezza informatica non possa essere misurata in termini
assoluti. Non esiste un sistema informatico sicuro, ma misure di sicurezza che, in relazione ai
dati da proteggere, possono essere ritenute sufficientemente affidabili.
Se è naturale proteggere il proprio ambiente di lavoro da intrusioni non autorizzate, di
qualsiasi natura esse siano, è sicuramente necessario massimizzare il livello di sicurezza nel
momento in cui si condivide un sistema in rete, indipendentemente dalla circostanza che si
tratti di una rete locale o di Internet.
Allo stesso modo, la protezione di informazioni riservate deve essere più accurata rispetto a
quella che si organizzerebbe per tutelare dati di scarsa rilevanza per l’azienda.
Per quanto ci si preoccupi sempre di chiudere a chiave la porta del proprio appartamento, ciò
non significa che l’abitazione sia inviolabile. Allo stesso modo, nel mondo virtuale
dell’informatica, approntare misure di sicurezza non significa avere un sistema inaccessibile.
Chiunque corre il rischio di subire visite indesiderate: occorre pertanto cercare di contemperare
ovvie esigenze di bilancio con la necessità di tutela dei dati immagazzinati, anche in relazione
alla loro appetibilità per un criminale: se appare superfluo adottare misure di sicurezza per un
sistema che fornisce pronostici per il totocalcio (per il quale il rischio di assalti finalizzati al
blocco del sistema o alla distruzione delle informazioni ivi contenute è piuttosto basso e
comunque non comporterebbe perdite ingenti), è sicuramente necessario procedere ad una
seria valutazione dei rischi connessi all’esercizio di un Istituto Bancario o Assicurativo per via
telematica.
Gli aspetti principali da prendere in considerazione, per giungere ad un grado di sicurezza del
proprio sistema che sia almeno accettabile, sono l'autenticazione, il controllo dell'accesso,
l'integrità e la confidenzialità.
Autenticazione
L'autenticazione è importante perché è ciò che differenzia un'entità da un'altra; senza di essa
tutti dovrebbero essere trattati nello stesso modo e si dovrebbe dare cieca fiducia a chiunque
dichiari una qualunque identità non supportata da prove di sorta. Ne consegue che possono
essere applicati dei controlli per limitare l'accesso solo laddove esista un precedente accurato
meccanismo di autenticazione al quale affidarsi. L'autenticazione, quindi, rappresenta una
prova d'identità.
Di solito questo prevede un insieme di fattori che ci caratterizzano, di cose che conosciamo e di
cose che possediamo. Gli amici, i familiari e i conoscenti in genere ci identificano con qualche
cosa di ben definito e di fisico che ci riguarda. Gli sportelli automatici Bancomat ci identificano
come clienti autorizzati perché possediamo qualcosa (la carta Bancomat) e conosciamo
qualcos’altro ( il codice segreto) che permette loro di individuarci.
Gli schemi di autenticazione comprendono solitamente qualcosa che conosciamo, qualcosa che
possediamo o entrambe. Ad esempio un account con relativa password ovvero un badge
magnetico.
Potrebbe sorprendere sapere che alcuni servizi di Internet, pur importanti, sono del tutto
sprovvisti di valide forme di autenticazione; altri servizi, nonostante siano protetti, utilizzano
degli schemi talmente semplici da essere molto poco sicuri in determinate circostanze.
Controllo dell’accesso
Superata la fase di autenticazione sorge il problema di controllare i privilegi concessi all’utente
autorizzato ad accedere al sistema, in termini di possibilità o meno di effettuare determinate
operazioni ovvero di entrare o meno in determinate aree delle memorie di massa.
I permessi più comuni riguardano la possibilità di leggere e scrivere all’interno di una directory.
Permessi che l’Amministratore concede in relazione ai compiti e alla posizione di ogni utente
collegato rispetto all’organizzazione data al sistema.
Integrità dei dati
L'integrità si riferisce alle attuali condizioni di alcuni dati, paragonate al loro stato originale.
Quando un file o un messaggio attraversa una qualsiasi rete telematica si rischia che ad esso
vengano aggiunti, tolti o modificati dei dati lungo il percorso. Quando questo accade viene
alterata l'integrità dell'elemento.
E’ un problema rilevante se solo si valuta la circostanza che, in genere, le informazioni
viaggiano in chiaro.
La posta elettronica ad esempio, non ha le caratteristiche di riservatezza della posta
convenzionale, generalmente chiusa all’interno di una busta. Può invece essere assimilata ad
una cartolina, le informazioni apposte sulla quale sono leggibili da ciascun soggetto che
materialmente l’avrà a disposizione durante il trasferimento dal mittente al destinatario.
In tema di sicurezza dei sistemi, si pensi ad un amministratore che, scoprendo un problema di
sicurezza su una delle macchine sotto il suo controllo decida, dopo aver verificato che altri
sistemi possono rischiare di subire un attacco simile, di inviare un messaggio di posta
elettronica per segnalare il problema.
Se un malintenzionato dovesse intercettare il messaggio potrebbe volgere la situazione a
proprio favore, venendo a conoscenza addirittura in anticipo, rispetto ad altri amministratori di
sistema, del problema che interessa determinate macchine.
Utilizzando le informazioni di cui è venuto in possesso potrebbe sostituirsi al mittente per
trarre in inganno gli originari destinatari del messaggio e cercare di instaurare con essi un
rapporto di fiducia per lo scambio di informazioni, ovvero farsi concedere un accesso
temporaneo su un account privilegiato con il pretesto di dare una mano nella difesa dagli
attacchi, ovvero, ancora, modificare il messaggio in modo da vanificare l’avvertimento e
sfruttare a proprio vantaggio il problema per sferrare un attacco.
Confidenzialità
Riguarda la capacità di rendere i dati leggibili solo ai soggetti autorizzati e viene solitamente
perseguita mediante l’uso di tecniche di crittografia o steganografia. Appare inutile evidenziare
come la maggioranza dei dati che transitano su Internet non abbia alcuna pretesa di
confidenzialità, che è invece indispensabile nel caso di comunicazioni che abbiano ad oggetto
trasferimenti di fondi, transazioni commerciali, ecc.
Adozione delle misure di sicurezza
La naturale evoluzione della riflessione che precede, sposta il discorso sulle misure di sicurezza
da adottare per proteggere i sistemi informatici.
Suddivise in logiche, fisiche ed organizzative, esse sono indispensabili per tutelare in maniera
adeguata i dati che è necessario proteggere.
Sono considerate misure logiche di sicurezza l’insieme delle restrizioni e dei privilegi assegnati
ad ogni utente durante l’accesso alle informazioni, l’adozione di antivirus e programmi antiintrusione, l’utilizzo di software di cifratura, l’attivazione di logs di sistema, ed ogni altro
meccanismo di controllo o prevenzione attivabile da software.
Per misure di sicurezza fisiche, invece, si intendono le protezioni installate in prossimità dei
sistemi informatici e telematici, volte a prevenire l’accesso non autorizzato ai locali in cui
l’hardware è custodito, il suo furto o il suo danneggiamento (porte blindate, sistemi di allarme,
grate alle finestre, ecc.).
E’ l’aspetto organizzativo della sicurezza informatica, tuttavia, l’elemento da curare con
maggiore attenzione. Un qualsiasi sistema, per quanto protetto, non sarà comunque sicuro se
dipendenti e collaboratori non sono stati adeguatamente istruiti sui comportamenti corretti da
adottare per garantire la sicurezza dei sistemi e delle informazioni ivi custodite.
Lasciare la password di rete scritta su un foglietto adesivo attaccato al monitor, scaricare ogni
tipo di software da Internet, dimenticare fascicoli e documenti riservati sulla scrivania o nei
corridoi, sono comportamenti più frequenti di quanto si possa immaginare e più dannosi di
qualsiasi criminale informatico. Essi vanificheranno inevitabilmente ogni misura di sicurezza
adottata, per quanto sofisticata, lasciando il sistema e i dati alla portata di chiunque abbia un
minimo di conoscenze sufficienti a sfruttare tali debolezze.
Un altro aspetto importante che è necessario disciplinare in sede normativa è quello della
responsabilità di quanti sono chiamati ad occuparsi professionalmente della sicurezza dei
sistemi informatici.
Se da un lato è legittimo pretendere la tutela di interessi giuridicamente rilevanti connessi
all’utilizzo di tecnologie vecchie e nuove, dall’altro non è concepibile che soggetti preposti
strutturalmente e funzionalmente alla cura della sicurezza dei sistemi siano immuni da
qualsiasi sanzione per l’omessa adozione o il mancato aggiornamento delle misure di sicurezza.
Documenti correlati
Stampa - Crimini informatici in crescita
Stampa - Crimini informatici in crescita
Creatività e innovazione di prodotto: creare valore e
Creatività e innovazione di prodotto: creare valore e
REATI INFORMATICI, MITI E REALTA`
REATI INFORMATICI, MITI E REALTA`
COMUNE DELLA SPEZIA PARERE INFORMATICO Il Dirigente dei
COMUNE DELLA SPEZIA PARERE INFORMATICO Il Dirigente dei
Corso “Gestire la sicurezza della rete informatica
Corso “Gestire la sicurezza della rete informatica
i_crimini_informatici_barattolo
i_crimini_informatici_barattolo
Facoltà di Scienze della Formazione Informatica Giuseppe Sorace
Facoltà di Scienze della Formazione Informatica Giuseppe Sorace
Caselle di posta bombardate da messaggi indesiderati
Caselle di posta bombardate da messaggi indesiderati
ISTITUTO D`ISTRUZIONE SUPERIORE LICEO CLASSICO
ISTITUTO D`ISTRUZIONE SUPERIORE LICEO CLASSICO
informatica - ISTITUTO GRITTI
informatica - ISTITUTO GRITTI
e-Scan debutta sul mercato italiano
e-Scan debutta sul mercato italiano
Scarica
annuncio pubblicitario