Crittografia: i consigli dell'ACN-Garante privacy
L’Agenzia per la cybersicurezza nazionale (ACN) promuove l’uso della crittografia in quanto valido strumento per assicurare una protezione efficace e duratura.
Analizziamo insieme al meglio le linee guida e gli obiettivi principali!
Crittografia: linee guida
- punti di vista teorici ed applicativi;
- analisi degli argomenti trattati;
- descrizioni tecniche degli algoritmi principali;
- lista degli algoritmi e parametri raccomandati.
- funzioni di hash crittografiche: strumento fondamentale per la cybersicurezza. Hanno varie applicazioni pratiche in ambito informatico e, grazie alle loro proprietà, è possibile verificare l’integrità dei dati;
- codici di autenticazione del messaggio (MAC): strumento di crittografia che consente la garanzia di autenticazione ed integrità dei messaggi. Le sue principali applicazioni si riscontrano nei contesti del mondo digitale;
- conservazione delle password: fondamentale per la sicurezza informatica e la protezione dei dati personali. I gestori di sistemi e servizi devono prevedere misure tecniche per proteggere gli archivi delle password in caso di attacchi e data breach.
A chi si rivolge l’ACN-Garante privacy
Come abbiamo visto finora, l’iniziativa per favorire la crittografia è stipulata dalla collaborazione tra l’ACN il Garante per la protezione dei dati personali. Occorre ricordare che tali indicazioni vengono di frequente aggiornate agli sviluppi nazionali e internazionali in termini di crittografia e cybersicurezza.
Entrando nello specifico, le linee guide, in materia di conservazione delle password, hanno l’obiettivo di:
- fornire importanti indicazioni sulle misure tecniche da adottare per rendere l’ecosistema digitale più sicuro;
- cercare di evitare che i dati affidati dai clienti vengano mal custoditi;
- rappresentare un fattore importante nella mitigazione degli attacchi hacker;
- combattere le violazioni già perpetuate e scoprire le relative cause.
Esse si rivolgono a:
- imprese e amministrazioni responsabili del trattamento dei dati, che conservano sulle proprie piattaforme le password degli utenti;
- gestori dell’identità digitale SPID o PEC;
- gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie;
- individui che accedono a database di particolare importanza o dimensione
- categorie di utenti che trattano abitualmente dati sensibili o giudiziari;
- professionisti sanitari, avvocati, magistrati.
In definitiva, si incoraggia quindi l’uso della crittografia come strumento di cybersicurezza in grado di garantire un livello di protezione efficace e duraturo. Ad oggi rappresentano quindi un primo passo, a cui dovrebbe seguire una più ampia e profonda trattazione dei meccanismi di autenticazione.
Password deboli: un problema sempre più attuale
- spesso non si conoscono le modalità corrette per generare e custodire password sicure;
- ove create, esse vengono conservate in database non adeguatamente difesi con funzioni di crittografia;
- si tende a riutilizzare più volte la medesima password, facilmente trovabile da eventuali hacker;
- le amministrazioni, in qualità di responsabili del trattamento, non adottano best practice in materia di conservazione di informazioni sensibili.
- siti di intrattenimento (35,6%);
- social media (21,9%);
- portali di e-commerce (21,2%);
- forum e siti web di servizi a pagamento (18,8%);
- siti a carattere finanziario (1,3%).
Crittografia: l’importanza nella società contemporanea
- strettamente legata all’impatto dello smart working che ha abbattuto la distinzione tra la sfera digitale privata e lavorativa;
- provocata dalla nascita di aziende sempre più digitali e sempre più esposte agli attacchi informatici;
- spinta dalla crisi economica che ha portato persone con competenze tecniche a cercare di guadagnare in modo illegale;
- diffusione della digitalizzazione.
- evoluzione degli strumenti tecnici a disposizione;
- utilizzo di malware che rubano credenziali per poi metterle in vendita in siti specializzati nel dark Web;
- esistenza di vere e proprie cybergang o persone affiliate ai gruppi dietro ricompensa.