CyberSec (S01 E13): La PEC e il cloud
Posta Elettronica Certificata e dati nel cloud
Ci sono casi, previsti dalla legge o semplicemente che si generano d’iniziativa dell'utente o del professionista stesso, nei quali si decide di optare per servizi che sono ritenuti “sulla carta” più sicuri, di base, rispetto ai tradizionali servizi offerti nella maggior parte dei casi gratuitamente o, comunque, rispetto a quei prodotti che vantano una diffusione più ampia e sono utilizzati, per così dire, anche dagli utenti “comuni”.
In questa Lezione porteremo i due, semplici esempi dell’indirizzo di posta elettronica certificata e di un sistema di backup o di gestione di servizi sul cloud.
Occorre sempre tenere a mente, in via preliminare, che anche il sistema più sicuro dal punto di vista della sua architettura diventa immediatamente vulnerabile se è l'essere umano a sbagliare qualcosa.
Il ritenere, quindi, più sicura ex se la posta elettronica certificata rispetto a un account di e-mail “comune” non è del tutto corretto: la PEC si basa, è vero, su un’architettura che si presenta più sicura proprio perché deve svolgere determinati fini, soprattutto dichiarativi e di testimonianza, ma se la PEC è utilizzata in maniera insicura (si pensi alla gestione errata delle credenziali) il sistema diventa altrettanto vulnerabile.
La transizione dalla posta elettronica “normale” alla PEC è fenomeno di questi ultimi dieci anni, un fenomeno che ha pian piano “accompagnato”, obbligandogli, gli iscritti a determinati ordini professionali, o le aziende e i soggetti che devono dialogare con, ad esempio, le pubbliche amministrazioni, alla presenza di un indirizzo di posta elettronica certificata.
La scelta del “soggetto terzo” (il più importante), ossia il certificatore, è di solito lasciata ai gusti e alle valutazioni di mercato effettuate dal professionista, a meno che l’ordine professionale non consigli, o fornisca a condizioni particolarmente convenienti, un prodotto e ne predisponga e faciliti l’utilizzo per i suoi iscritti.
Il cuore del sistema della PEC, generalizzando e senza far riferimento ad alcun servizio, è proprio questa certificazione, o attestazione, o “ricevuta” che aggiunge un importante valore legale al sistema d’invio della e-mail che, di solito, non è molto differente, a onor del vero, da quello cui siamo abituati con i gestori tradizionali.
Il professionista oggi, mantiene comunemente due indirizzi: uno tradizionale, che usa ad esempio per le comunicazioni meno importanti o di cui non c’è necessità di mantenere un archivio, e la PEC che viene utilizzata per dialogare in modo per così dire “ufficiale”.
Di solito i servizi di PEC offerti, che mirano a replicare nel mondo virtuale l’idea di “raccomandata con avviso di ricevimento”, ossia di far sì che mittente e destinatario, tramite l’azione del certificatore e le sue attestazioni possano avere dichiarazioni ufficiali della “vita” e dell’iter della e-mail (invio da parte del mittente, ricezione da parte del server, invio al destinatario, ricezione da parte del destinatario, etc), integrano anche alcune funzioni interessanti di sicurezza.
Tre sono, a nostro avviso, le più importanti: i) un sistema efficace di backup, ii) un sistema antivirus e iii) un sistema di cifratura di tutte le attività di comunicazione.
Il primo consente di conservare le copie di tutte le e-mail PEC inviate e spedite, oltre eventualmente a una copia cartacea che l’azienda o il professionista custodirà a fini di conservazione.
Il secondo consente di impedire che virus possano circolare anche allegati alle PEC.
Il terzo permette una comunicazione sicura e dà vita a un ambiente in cui le varie operazioni non sono intercettabili.
Una funzione oggi molto utile è anche l’avviso via SMS dell’arrivo di una PEC, sia per consentire il rispetto di alcuni termini ed evitare pericolose scadenze, sia perché la PEC, si diceva, si è affiancata, nell’uso quotidiano, a una e-mail che il professionista già aveva da anni e che, probabilmente, controlla più di frequente.
Congiuntamente alla PEC, il cloud computing è probabilmente il secondo servizio che, in questi ultimi anni, ha destato interesse di aziende e professionisti.
Il cloud, ossia il delocalizzare dati, attività o programmi su un server di proprietà di un’azienda esterna risparmiando così costi e aumentando la potenza di calcolo, può essere usato per diversi fini. Uno dei più comuni è il backup, ma molto diffuso è anche il cloud che dia vita a veri e propri “uffici virtuali” con possibilità di creazione di profili e di indirizzi di e-mail, di condivisione di dati e di efficienti ambienti di lavoro cooperativi.
Anche in questo caso, gli operatori che offrono servizi di cloud sono centinaia, ma si possono prospettare alcuni ragionamenti comuni quantomeno sugli aspetti di sicurezza e di funzionalità di detti sistemi.
L’uso di un sistema di cloud online per effettuare il backup quotidiano, o a cadenza oraria, di tutti i documenti modificati sul proprio computer è, a nostro avviso, uno degli investimenti migliori che si possano fare sul breve periodo in caso di incidente informatico.
Si tratta di una scelta che separa intelligentemente l’hardware dai dati e ci permette in un istante di recuperare tutti i nostri dati, e ciò su cui stiamo lavorando, nel caso l’hardware abbia dei problemi o ci sia sottratto.
Uno degli aspetti più interessanti di alcuni venditori di servizi cloud, sia nordamericani sia europei, è il cosiddetto principio del “zero knowledge”, ossia il fatto che il fornitore di servizi non possa conoscere il contenuto dei dati che il professionista “carica” sul cloud dal momento che gli stessi vengono cifrati a livello client (ossia già prima di iniziare il viaggio verso la nuvola, direttamente dal professionista) e la chiave è in possesso solo dell’utente. Ciò è interessante perché uno dei primi timori che si presenta a chi stia valutando se acquistare o meno un servizio cloud è proprio contenuto in quel quesito: ma poi potranno vedere tutti i nostri dati?
Il cloud, si diceva, non è utilizzato solamente per il backup: è in grado di offrire un completo ambiente di condivisione e di lavoro che fornisca anche altissimi requisiti di sicurezza, spesso più evoluti di quelli che il singolo utente si potrebbe permettere o potrebbe implementare.