4\ Conosci te stesso
La sicurezza digitale, come anche quella fisica, parte dal rendersi conto di quali sono i possibili bersagli degli attaccanti.
Per un po’ di puntate cambio registro: proverò a seguire le direttive internazionali di cybersecurity1 vestendole sulla vostra realtà.
Feedback sono ben accetti.
I vostri dispositivi
Prendete carta e penna e…
Fate una lista dei dispositivi elettronici connessi in rete a casa vostra
Fate con calma e cercate di non dimenticare nulla. Vi sarete ricordati sicuramente dei cellulari e dei computer, ma della smart TV? della SkyBox? del router wi-fi? e Alexa? la stampante wi-fi? e la smartcam wi-fi? Elencate tutto.
Fatto?
Per ogni dispositivo indicate indicativamente l’anno di acquisto.
Tenendo conto che:
il responsabile di un dispositivo è colui che dovrebbe saperlo configurare, aggiornare se necessario e sa cosa fare in caso di malfunzionamento.
Per ogni dispositivo scrivete il nome del responsabile di quel dispositivo, se non sapete individuare, scrivete nessuno.
Poi indicate con un numero da 1 a 5 il grado di conoscenza che il responsabile ha di ogni dispositivo:
1 indica il fatto che al primo problema l’unica cosa che sapete fare è spegnere e riaccendere
3 indica che sapete a cosa serve, avete utente e password e siete in grado di capire se funziona a dovere o no, siete in grado di capire se ci sono aggiornamenti del sistema e siete in grado di farli.
5 indica che sapreste riconfigurarlo da zero come se fosse nuovo e in caso di problemi sapete sempre cosa fare.
0 naturalmente se non esiste il responsabile.
Rileggete e non spaventatevi.
Minimizzate i rischi
Evidenziate tutti i dispositivi che hanno una o più di queste caratteristiche:
dispositivi senza un responsabile
dispositivi con un responsabile che non conoscete
dispositivi più vecchi di 5 anni2
dispositivi con grado di conoscenza 2 o meno.
Questi dispositivi sono a rischio e mettono a rischio gli altri dispositivi.
All’università mi ripetevano spesso “l’unico dispositivo veramente sicuro è un dispositivo spento“, questo per ricordarci che la sicurezza totale non esiste.
A voi invece serve per domandarvi: mi serve veramente acceso quel dispositivo? a cosa mi serve? se mi serve al bisogno perchè tenerlo sempre acceso?
Tutti quei dispositivi evidenziati devono veramente essere accesi? Sempre? Anche di notte?
Ad esempio, fatevi queste domande:
A cosa serve il cellulare sempre connesso anche di notte? al massimo lasciate in funzione solo le chiamate.
Lasciate accesi i computer di notte? lo sapete che i principali malware sono programmati per iniziare a bloccare i pc durante la notte quando nessuno può accorgersi di loro?
E la wifi perchè deve rimanere accesa alle 3 di notte? Dal parcheggio fuori casa la vostra WiFi si prende? Avete solo voi la password della vostra wifi? 3
Inoltre, se un dispositivo non lo usate più, perchè tenerlo acceso e abbandonato? Gaurdate che non è infrequente come pensate.
Adotta anche tu un dispositivo abbandonato
I dispositivi evidenziati sono una potenziale falla nel sistema. Fai queste valutazioni, per ognuno:
Ti serve veramente?
Lo adotti tu! Impara a usarlo e aggiornarlo. Se non hai ancora impostato il pin o la password, fallo ora.4
Lo adotta qualcuno di tua fiducia! e ci pensa lui. Ricordargli ogni tre o quattro mesi di controllare per gli aggiornamenti o di spiegarti come si fa.
Non ti serve veramente!
Se non sei in grado di manutenerlo valuta l’opzione di:
spegnerlo o di tenerlo spento il più possibile.
usarlo disconnettesso dalla rete (wifi o via cavo)5
Venderlo o regalarlo a chi saprebbe utilizzare, e tu sostituirlo con un dispositivo più semplice da usare per te.
Tranquilli
Le possibilità che rimaniate vittime di attacchi informatici a causa dei vostri dispositivi mal supervisionati è limitata perchè gli utenti privati non sono economicamente profittevoli: avete pochi soldi rispetta ad una azienda qualunque.
Ho detto limitata, non assente. Significa che potete comunque essere convolti in attacchi di massa o utilizzati come portatori inconsapevoli: potreste portare inconsapevolmente il malware in azienda.
Fine per oggi.
Cosa avete imparato
Oggi avete imparato quello che in gergo tecnico si chiama Device Asset Management ovvero il censimento dei dispositivi fisici in vostro possesso.
Ogni anno se volete rifate questo esercizio.
Dove sta il problema vero
Nelle aziende. Provate a fare lo stesso esercizio a lavoro. Conosco pochissime aziende strutturate che siano in grado di censire adeguatamente i propri dispositivi.
Ogni dipositivo non supervisionato può essere la testa di ponte per un attacco informatico: badate che tutti gli attacchi informatici hanno la necessità di un dispositivo da cui far partire l’attacco, l’anello debole.
Ora lo sapete e potere incutere sano terrore al vostro capo.
Ultime cose poi ci salutiamo
Siamo già in 55 dopo soli 15 giorni dall’inaugurazione! Ancora grazie chi aiuta a diffondere l’iniziativa. Il mio obiettivo minimo è arrivare a 100 per il 30 giugno.
Se ognuno di noi coinvolge una sola persona a testa raggiungiamo l’obbiettivo prima di sabato prossimo. Dai che ce la facciamo!
Grazie anche a Filippo, che con pazienza mi consiglia: è merito suo se il contenuto di queste email è leggibile e soprattutto è breve.
L'hai già girata a tua mamma? A tuo papà? A tuo figlio? A tua figlia? ai tuoi colleghi? ai tuoi amici? Al gruppo mamme?
Non costa nulla. Fallo ora.
Alla prossima
Nicola
ID.AM-1
5 anni è un periodo indicativo ma ragionevole. In base alla tipologia di dispositivo potrebbe variare, ma non di troppo.
Sapete che molti router wifi possono essere configurati per spegnere il wifi a una certa ora e riaccenderla ad un altra?
Ti concedo di scriverla su un etichetta posta su un lato cieco del dispositivo. Questa cosa dell’etichetta non vale per i dispositivi aziendali.
se ciò ha senso.