Seit den 70er Jahren des letzten Jahrhunderts hat die soziale und technologische Entwicklung das Paradigma der Arbeitstätigkeit, die zuvor traditionell in den vom Arbeitgeber kontrollierten physischen Räumen ausgeübt wurde, schrittweise verändert. Dieser Fortschritt hat sich aufgrund der jüngsten Gesundheitskrise noch nie zuvor beschleunigt. Die daraus resultierenden Eindämmungs- und Bewirtschaftungsmaßnahmen haben tatsächlich den Einsatz von erzwungen agile Arbeit, auch durch elektronische Geräte, die nicht von der technologischen Plattform des Arbeitgebers kontrolliert werden; Geräte entsprechen unter anderem nicht immer – wie leicht verständlich ist – den Empfehlungen oder Standards der Zertifizierungs- oder Zulassungsstellen.
Die Auswirkungen auf die Informationssicherheit und die Betriebskontinuität von Netzwerken, Informationssystemen und Informationsdiensten ließen nicht lange auf sich warten. Und die kommenden Monate werden wahrscheinlich weitere Beweise für eine systemische Verwundbarkeit von völlig neuem Ausmaß hervorbringen, die das Ergebnis zweier gleichzeitiger Aspekte ist, deren Auswirkungen sich mit exponentiellen Ergebnissen untermauert haben: die Plötzliche Fehlausrichtung zwischen dem IT-Sicherheitsperimeter und dem physischen Sicherheitsperimeter; und dasDer massive Einsatz persönlicher Geräte kompensiert den Mangel an Geräten, die in der ersten Phase der Krise in erheblichem Maße vorhanden waren Unternehmenskunden (Smartphone, Tablets und Computer, die der Arbeitgeber den Arbeitnehmern sozusagen zuteilt) notwendig, um „Smartworking“ zu gewährleisten.
Ja, denn die Arbeitswelt erwachte eines schönen Morgens und musste sich mit einer Realität auseinandersetzen – der häuslichen Isolation –, die den Fluss von Arbeitsinformationen und Geschäftsabläufen auf die technologischen Bereiche der häuslichen Privatsphäre, der öffentlichen Verwaltung und des dritten Sektors umlenkte. Eine Menge Verkehr, nicht gerade „Freizeit“, fiel auf den Kleinen Router der Familie (die kybernetische Eingangstür zum Haus), am Computer im Kinderzimmer - der gerne auch für den Fernunterricht genutzt wird - oder auf der neuesten Version von Smartphone von „fernöstlicher“ Manufaktur, auf der per Videokonferenz Arbeitssitzungen, abwechslungsreiche spielerische Aktivitäten und die extravagantesten Interaktionen stattfinden Social-Networking.
Abgerundet wird das Ganze durch die Tatsache, dass diese neu entstandenen und improvisierten Netzwerksegmente aus offensichtlichen praktischen und wirtschaftlichen Gründen den Schwerpunkt auf der physischen Ebene überwiegend auf die Funktechnologie (Wi-Fi) verlagert haben, die weniger zuverlässig ist als Kupferkabel und auf die optische Faser.
Kurz gesagt, im Vergleich zu Gateways, Portalen, Firewalls und RAS-Servern (d. h Cyber-Schlachtschiffe eingesetzt, um die Netzwerke von Kasernen, Ministerien und Organisationen zu schützen gemeinnützig und Kompanien) hatte der Feind über das im Schrank des „Telearbeiter“-Hauses versteckte Modem die Möglichkeit, die Verteidigungsfront zu umgehen und seitlich durchzubrechen.
Das Argument ist von solcher Bedeutung, dass die Nationales Institut für Standards und Technologie hat einen „Call for Comments“ gestartet, der die kollektive Intelligenz der Branche mobilisiert, um die Standardisierung von Sicherheitsprozessen und -methoden an die veränderte Realität anzupassen. Und in Italien beschäftigt sich das CSIRT Italien (sozusagen die Cyber-Spezialeinheiten unserer Republik) mit dem Thema, das ebenfalls eine spezielle Aufklärungskampagne gestartet hat.
Machen wir also eine Bestandsaufnahme – aus der Vogelperspektive – über die zu überwachenden Risikoprofile.
Der zu betrachtende Analyseumfang besteht zunächst aus drei teilweise überlappenden, aber konzeptionell unterschiedlichen Prozessbereichen: dem „Telearbeit“, d. h. die Ausführung der Arbeitstätigkeit außerhalb des physischen Sicherheitsbereichs der Organisation; Der "Fernzugriff", d. h. die Möglichkeit, von außen auf die nicht öffentlichen IT-Ressourcen einer Organisation zuzugreifen; Der „BYOD“, Akronym für „Bring Your Own Device“, und das ist die Möglichkeit, die Arbeitstätigkeit mit auszuführen Smartphone, Tablets und Computer, die nicht vom Arbeitgeber kontrolliert werden, d. h. solche, die dem Arbeitnehmer persönlich oder vertraglichen Dritten (Auftragnehmern) gehören.
Das zu untersuchende Risiko muss anhand von vier Grundannahmen beschrieben werden. Die erste ergibt sich aus der Überlegung, dass Sie können nicht schützen, was Sie nicht physisch kontrollieren. Bei der Telearbeit arbeitet man per Definition außerhalb des physischen Sicherheitsbereichs des Arbeitgebers und daher können die „Kunden“ der Organisation leichter verstreut, gestohlen werden oder vorübergehend außerhalb der Verfügbarkeit des Arbeitnehmers bleiben. Die Folge kann der Verlust der im verlorenen Gerät gespeicherten Daten sein oder der Versuch, unter Ausnutzung der Authentifizierungsmechanismen des gestohlenen Geräts betrügerisch auf die Serverinfrastrukturen zuzugreifen.
Der zweite bezieht sich auf die Tatsache, dass, abgesehen von kostspieligen Ausnahmen, die im Allgemeinen mit der Verbreitung strategischer Informationen für nationale Verteidigungs- und Sicherheitssysteme verbunden sind, Der „Fernzugriff“ erfolgt über Netzwerke – Funk oder drahtgebunden –, die von Dritten (Anbietern) zur Verfügung gestellt werden und auf deren Sicherheit Sie keinen Einfluss haben. Daraus leitet sich das gesamte Thema des missbräuchlichen Abfangens des Datenverkehrs zum Zwecke des Informationsdiebstahls oder der Sabotage ab, das typisch für die Angriffstaktiken von ist Der Mann in der Mitte (MITM).
Der dritte Aspekt, der eine große konzeptionelle Affinität zur aktuellen Gesundheitskrise aufweist, besteht darin Risiko einer Ansteckung durch Computerviren über infizierte Geräte, denen eine Verbindung zum internen Netzwerk der Organisation ermöglicht wurde. Dies ist zum Beispiel das Terrain der Wahl für die Taktik Erster Zugriff Cyberpiraten, die darauf abzielen, die Computerumgebung des Opfers mit einer ausführbaren Datei zu infiltrieren, um Sabotage-, Schadens-, Diebstahl- oder geheime Befehls- und Kontrollaktionen durchzuführen.
Die letzte Annahme muss in Bezug auf die internen Ressourcen getroffen werden, die für den Zugriff von außen verfügbar gemacht werden sollen, insbesondere wenn sie durch BYOD erstellt wurden, wie beispielsweise der Laptop des Auftragnehmers Smartphone Mitarbeiter des Mitarbeiters, das Tablet des Beraters. Hier gilt im Vergleich dazu der Ansatz, bei der Übergabe der Hausschlüssel an den Gärtner vorsichtig zu sein, damit er Sie nicht aus dem Haus aussperrt oder in Ihrer Abwesenheit die Wohnung ausraubt.
Speziell für BYOD müssen eine Reihe zusätzlicher Risikoannahmen getroffen werden. Lassen Sie uns sie kurz beschreiben: Erstens gibt es immer einen Gradienten der „Dicke“ (Robustheit des Sicherheitsgrades) zwischen den Computerumgebungen des Arbeitgebers und den persönlichen Geräten: Dieser Fleck ist ein Vorteilsfaktor für den Gegner. Tatsächlich von Natur aus Smartphone Persönliche Infrastrukturen dienen der Freizeitnutzung und sind verständlicherweise dünner (sozusagen fragiler) als Unternehmensinfrastrukturen, wo sie aufgrund der Anforderungen an Sicherheit und Geschäftskontinuität eher robust als flexibel sein müssen. Darüber hinaus kann jeglicher illegale Datenverkehr, der durch BYOD erzeugt wird und mit dem Netzwerk des Arbeitgebers verbunden ist, diesem zugeschrieben werden, was zu offensichtlichen rechtlichen Komplikationen und Reputationsschäden führt.
Schließlich kann ein Arbeitgebernetzwerk, das die BYOD-Verbindung ermöglicht, ein unbeabsichtigtes Schlachtfeld zwischen Geräten Dritter sein. UND Sicherheit schaffen Es bedeutet nicht nur, unser Erbe zu schützen; aber auch verhindern, dass irgendjemand unsere Vorteile ausnutzt Vermögenswert Angriffe auf andere starten!
Um mehr zu erfahren:
https://csrc.nist.gov/publications/detail/sp/800-46/rev-3/draft
https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking
https://www.difesaonline.it/evidenza/cyber/microsoft-sicurezza-e-privacy-ai-tempi-del-covid
