Sicurezza dei dati: nuove linee guida per le password approvate
Un recentissimo e pesantissimo attacco hacker, compiuto da un gruppo ancora sconosciuto nei confronti di una società che serve diverse entità della Pubblica Amministrazione, ha rischiato di causare gravi disagi. Ed ecco, quindi, tornare nuovamente alla ribalta della cronaca l’importanza di proteggere i propri dati nel mondo digitale. Le password sicure giocano, in questo contesto, un ruolo determinante.
Molte violazioni dei dati personali sono strettamente collegate alle debolezze delle password e ad una non corretta archiviazione di credenziali di autenticazione in database non adeguatamente protetti con funzioni crittografiche. I cyber attacchi sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi.
La gravità dei furti di username e password
Secondo i dati riportati dal Garante per la protezione dei dati personali, il furto di username e password consente ai cybercriminali di commettere una serie di reati. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).
Tenendo conto di questa esigenza, con l’obiettivo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, l’Agenzia per l’Italia Digitale e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di sicurezza delle password.
Le linee guida non riguardano il modo in cui una password personale debba essere generata per mettere al sicuro, ad esempio, il proprio account, ma il modo in cui il fornitore del servizio deve proteggere la password per accedervi. Le linee guida, quindi, sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti.
Il ruolo delle istituzioni e le raccomandazioni per una maggiore sicurezza
I soggetti interessati sono i gestori di SPID o CieID, i gestori PEC, i gestori di servizi di posta elettronica, come banche, assicurazioni, operatori telefonici e strutture sanitarie. Ovvero tutti quei soggetti che accedono a banche dati di particolare rilevanza o dimensioni, come i dipendenti della Pubblica Amministrazione, oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari.
L’obiettivo è di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.
La necessità di investimenti per la sicurezza
Tale impostazione risulta fondamentale viste le ripetute violazioni dei database dei principali social network, fornitori di caselle di posta elettronica e servizi di e-commerce e la successiva compilazione delle credenziali trafugate in enormi magazzini virtuali messi in vendita nei mercati del dark web, al miglior offerente o con il semplice scopo di causare un danno reputazionale alle aziende ed entità coinvolte.
Nel dark web si reputa che ci siano diversi trilioni di credenziali in vendita e il costo medio globale di un attacco informatico nel 2023 è di circa 10,5 milioni di dollari. Da qui nasce l’esigenza per le diverse istituzioni di prevedere di aumentare gli investimenti per la sicurezza a seguito di una violazione. Il lavoro svolto col Garante Privacy sulla conservazione sicura delle password è solo un primo passo in questa direzione.