Consigli per proteggere i dispositivi mobili (che contengono i nostri dati)

TL;DR In caso di smarrimento o furto del proprio smartphone o notebook rischiamo che le informazioni personali lì contenute possano essere usate in modo indebito. È necessario, quindi, ridurre il rischio che i nostri dati personali e/o riservati possano essere divulgati, attuando alcune basilari misure di sicurezza nell’uso dei dispositivi mobili.

La vera forza non si misura in cosa vinci, ma in cosa proteggi.”
Fabrizio Caramagna

La notizia che un attore ha messo in vendita i (presunti) dati contenuti nel laptop di Nancy Pelosi, nota speaker della Camera dei rappresentanti statunitense, sottratto durante le proteste di gennaio, è l’occasione per affrontare anche la necessità di proteggere i dispositivi che contengono i nostri dati.

L’annuncio di vendita sul forum

Stando alle dichiarazioni pubblicate dalle varie agenzie di stampa che hanno coperto l’accaduto, il laptop rubato sarebbe stato usato solo per le presentazioni ma sembrerebbe non chiaro quanto materiale riservato potrebbe essere contenuto all’interno dell’hard disk.

Sorprende che un dispositivo governativo, per quanto utilizzato marginalmente, non abbia implementato le misure basilari di protezione, come la cifratura dell’hard disk, che avrebbero sicuramente minimizzato il rischio che le informazioni lì contenute potessero essere esfiltrate facilmente.

Del resto, perdere un portatile, uno smartphone o un tablet è piuttosto facile. E ormai all’interno di questi dispositivi conserviamo anche dati riservati, come l’accesso ai conti correnti, documenti aziendali e materiale personale che non vorremmo mai finisse nelle mani di chicchessia.

In ambito aziendale, ad esempio, esistono fior di raccomandazioni in merito alla classificazione dei documenti e relative misure di protezione (ad es. Mobile Device Security: Corporate-Owned Personally-Enabled, NIST). Del resto, è innegabile che i dati aziendali rappresentino un assets strategico dell’azienda stessa e, quindi, meritevoli di adeguata protezione.

Per le PA sono le già ampiamente citate “Misure minime di sicurezza ICT per le PA” a indicare come implementare adeguate misure di sicurezza nei dispositivi mobili, richiedendo l’utilizzo di “sistemi di cifratura per i dispositivi portatili e i sistemi che contengono informazioni rilevanti“.

Alle misure più squisitamente tecniche aggiungiamo anche quelle relative alla protezione dei dati personali, definite nel Regolamento europeo 2016/679 “GDPR” e rientranti negli adeguati requisiti tecnico-organizzativi indicati all’art. 32 a tutela dei diritti e delle libertà degli interessati: quando parliamo di dispositivi aziendali/istituzionali, è facile che vi siano conservati documenti contenenti dati personali, talvolta anche di natura riservata.

Quindi, fermo restando che aziende ed Enti dovrebbero avere una o più policy per definire i requisiti, gli usi e le procedure che regolano la vita di ogni dispositivo mobile aziendale/istituzionale, anche per i dispositivi mobili di tutti noi normali cittadini sarebbe bene implementare alcune misure di sicurezza:

  • password/PIN all’accensione. Dove possibile, impedire il caricamento del sistema operativo in assenza di una credenziale di autenticazione;
  • proteggere la configurazione del BIOS per impedire modifiche non autorizzate alla configurazione del sistema;
  • abilitare/implementare la cifratura dell’hard disk/memoria principale. Molti smartphone Android e iOS delle ultime generazioni la implementano nativamente. Per i notebook, a seconda del sistema operativo, esistono diverse soluzioni. Su GNU/Linux, cryptsetup è una ottima soluzione. Per MS Windows c’è BitLocker. Il sistema scelto deve richiedere una password a ogni accensione;
  • abilitare la cifratura per ogni memoria aggiuntiva (es. miniSD) utilizzate per memorizzare documenti e informazioni riservate/personali;
  • attivare un salvaschermo/blocco dopo “n” minuti d’inattività (es. 5 minuti). Lo sblocco deve essere possibile solo previo inserimento di una password/PIN;
  • ripristinare alle condizioni di fabbrica e cancellare in modo sicuro prima di dismettere il dispositivo o in caso di cambio di proprietario/assegnatario;

Le credenziali, ovviamente, devono essere ragionevolmente sicure e difficilmente indovinabili. Sono quindi da escludere:

  • date di nascita, targhe di veicoli e date di matrimonio;
  • nomi, cognomi di moglie, figli, genitori, amanti… e altre informazioni facilmente indovinabili;
  • lunghezza di almeno 8 caratteri alfanumerici, compresi simboli e spazi;

È importante minimizzare il rischio che, in caso di furto o smarrimento o, comunque, perdita di esclusività, le informazioni contenute nel dispositivo possano essere visualizzate da terzi non autorizzati.

NOTA BENE: Queste sono indicazioni basilari di sicurezza, che non comprendono eventuali ulteriori protezioni relative all’accesso alle reti aziendali/istituzionali, installazione software etc…

Potreste pensare che queste misure sono esagerate e che comunque, al di fuori di contesti aziendali, non ha senso attuare simili protezioni. Beh, provate a immaginare se, proprio adesso mentre leggete queste righe, qualcuno prendesse in mano il vostro smartphone o notebook. Poi chiedetevi:

  • la mia rubrica telefonica contiene numeri “particolari” o riservati? E se queste persone ricevessero telefonate dal mio numero ma, a parlare, fosse uno sconosciuto?
  • nei messaggi e nella posta elettronica ci sono informazioni confidenziali o riservate? Ad esempio, estratti conto, ricette o prescrizioni mediche, credenziali di accesso?
  • le mie app di pagamento/home banking sono abbastanza sicure da non permetterne l’accesso in mia presenza? Uno sconosciuto, in possesso del mio smartphone con l’app dell’home banking, potrebbe accedere al mio conto corrente?
  • nelle chat delle varie app di messaggistica ci sono informazioni imbarazzanti e/o riservate?
  • tra le foto/video, ci sono scatti che non vorremmo far vedere a sconosciuti?
  • nella cronologia del browser, potrebbero esserci tracce di visite a siti web particolari?

Attuare le misure base di protezione probabilmente non vi proteggerà da eventuali indagini delle forze dell’ordine, che hanno dotazioni particolari (Cellebrite UFED e similari), né da eventuali perizie da parte di esperti di analisi forense. Tuttavia potrà proteggervi, se applicate correttamente, da occhi indiscreti e dal rischio che, in caso di furto o smarrimento, i dati contenuti nel dispositivo possano finire nelle mani sbagliate.

Hai trovato utile questo articolo?

Questo articolo è stato visto 144 volte (Oggi 1 visite)
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.