I requisiti di sicurezza contro la permanenza abusiva nella rete aziendale

Alcuni importanti data breach che hanno causato gravi danni sono stati provocati da hacker che, una volta entrati abusivamente nell’infrastruttura di rete dell’organizzazione attaccata, vi sono rimasti indisturbati per settimane o anche mesi, in modo da acquisirne tutti i segreti. Al momento giusto, poi, avendo acquisito la capacità di aggirare tutte le misure di contrasto adottate dall’organizzazione, l’hacker sferra l’attacco decisivo e devastante. Alcuni di questi casi sono stati oggetto di provvedimenti sanzionatori dell’Autorità (v., tra gli altri, i provvedimenti del 28 marzo 2019, doc. web n. 9104006 e del 10 giugno 2020, doc. web n. 9429195).

Per contrastare efficacemente questa eventualità si fa ricorso alla misura detta dello “Zero Trust” secondo la quale l’ambiente di rete viene considerato come ostile, cioè come già compromesso; il principio di base è il seguente: solo perché sei connesso a una rete, non significa che dovresti essere in grado di accedere a tutto ciò che è disponibile su quella rete. Perciò, ogni istanza di accesso ai dati o ai servizi viene continuamente verificata rispetto alla policy di accesso dell’organizzazione.

La fiducia nell'attendibilità di una richiesta si ottiene con la costruzione da parte del titolare di un contesto, e con la conseguente attribuzione allo stesso di un livello di sensibilità, secondo il criterio, ad esempio, del valore dei dati a cui si accede o dell'impatto dell'azione richiesta. In tal senso, l'accesso a dati personali sensibili potrebbe richiedere un elenco specifico di utenti autorizzati con autenticazione forte, su un dispositivo che appartiene all'organizzazione e che risulti in condizioni di integrità, prescrivendo come requisiti la crittografia, livelli di patch e l'abilitazione dell’avvio protetto (secure boot). Se una connessione non soddisfa i criteri di accesso, questa viene interrotta.