L’email costituisce uno dei vettori più utilizzati per condurre attacchi informatici.
Sicuramente si può intervenire per mitigarne la vulnerabilità, ma non è solo questo il problema quando ci si riferisce alla sicurezza del trasferimento di dati personali a mezzo posta elettronica.
L’ obsolescenza di uno strumento informatico è determinata non dalla tecnologia in sè, ma dalla modalità con cui la stessa viene utilizzata. In particolare, l’email nasce per sostituire la corrispondenza cartacea e non è stata progettata per preservare la sicurezza del contenuto, bensì per agevolare le comunicazioni rendendole più veloci e, al contempo, più semplici.
In un contesto lontano anni luce dal concetto di privacy by design, il processo digitale è stato strutturato per ripercorrere le fasi del processo analogico:
- si scrive il messaggio;
- (talvolta) si inserisce la firma del mittente;
- si scrive l’indirizzo del destinatario;
- si spedisce il messaggio.
Il tutto, però, viene effettuato con tempistiche infinitamente più veloci rispetto al processo analogico e questo, oltre ad offrire indubbi vantaggi, implica criticità.
I vantaggi più evidenti risiedono tutti nella oggettiva maggiore “comodità” del processo digitalizzato.
Le criticità più evidenti, per contro, si rinvengono nella maggiore difficoltà nel “cambiare idea” rispetto a quanto si è scritto e, addirittura, allo spedire oppure no il messaggio.
Oltre a ciò, però, vanno valutati attentamente altri e ben più gravi profili critici rispetto alla sicurezza del processo, quantomeno rispetto alle norme oggi in vigore nell’Unione Europea.
I rischi di utilizzo della posta elettronica
A doverosa premessa di carattere generale, rispetto alle criticità, iniziamo con precisare che Il processo viene disciplinato attraverso il Simple Mail Transport Protocol (SMTP), un protocollo antico che non è stato progettato per essere sicuro “by design” (art. 25 Reg. UE 2016/679).
Vulnerabilità ad attacchi informatici
Tant’è che l’email costituisce uno dei vettori maggiormente utilizzati per condurre gli attacchi informatici.
La considerazione appena svolta potrebbe costituire un problema considerando che vi sono 2 bilioni di accounts e che circa ogni giorni vengono inviati 247 bilioni di messaggi a mezzo mail (fonte: Enisa).
Facendo riferimento al noto modello CIA (Confidencial – Integrity – Availability) Triad le minacce possono compromettere l’integrità, la riservatezza e la confidenzialità delle stesse, attraverso accessi non autorizzati, divulgazione non autorizzata di contenuti di mail, difficoltà nell’invio e nella ricezione dei messaggi.
Inoltre con l’email non c’è un modo integrato per verificare l’identità del mittente ed è molto facile creare falsi indirizzi mail usando dei sistemi tipo Telnet.
Senza l’attivazione delle implementazioni citate nel prosieguo, inoltre, il testo viene inviato in chiaro e dunque è facile poter “intercettare” il contenuto dell’e-mail.
Occorre specificare, tuttavia, che alcuni sistemi di posta hanno implementato con tecnologie di crittografia del messaggio, come Microsoft Exchange.
Invio a destinatario errato di informazioni da tenere riservate
Ma non è possibile ridurre il problema al solo rischio di attacco informatico.
Chiunque lavori nel campo della compliance in ambito data protection, sa perfettamente che tra le casistiche di data breach l’invio di informazioni personali a destinatario errato è in assoluto la più frequente.
E parliamo di perdita di riservatezza rispetto a dati di ogni tipo, anche e soprattutto giudiziari.
Riflettiamo sul fatto che l’intero processo telematico si fonda oggi, nel nostro Paese, su scambi di atti processuali a mezzo Posta Elettronica Certificata (che nulla aggiunge rispetto alla semplice e-mail in termini di sicurezza).
Le Aziende Sanitarie spesso trasmettono i referti a mezzo e-mail.
I datori di lavoro inviano di continuo documenti quali Cedolini Paga, modelli UNILAV, attestati, a mezzo e-mail.
Persino le Autorità di Pubblica Sicurezza (CC, PS, GdF) spessissimo notificano i propri provvedimenti a mezzo Posta Elettronica Certificata.
Tutto questo, il più delle volte, avviene in assenza di qualsivoglia strumento di crittografia.
Molto spesso, si incorre nel classico errore di destinatario.
Si può rendere la posta elettronica conforme alla disciplina in materia di protezione dati personali?
In forza dell’art. 32 del Reg. UE 2016/679 è necessario adottare delle misure di sicurezza adeguate.
L’accountability prevede proprio che il Titolare adotti delle misure tecniche adeguate per la tutela del dato, ma che sia anche in grado di dimostrarne l’adeguatezza.
Sicuramente si può intervenire per mitigare la vulnerabilità dello strumento agli attacchi informatici.
Una soluzione sicura per la sicurezza della posta elettronica dovrebbe includere una crittografia avanzata e affrontare le vulnerabilità della rete al momento della creazione della stessa.
Sussistono dei meccanismi mediante i quali è possibile aggiungere sicurezza alla email.
Il sistema S/MIME offre una strategia per rendere sicuro il contenuto dei messaggi, inoltre un messaggio firmato garantisce anche l’integrità e l’autenticazione del mittente, così da non essere ripudiato.
È importante dotarsi anche di un sistema gateway e-mail sicuro per evitare il passaggio di spam e altri messaggi dannosi.
Poi ancora dotarsi di un sistema di autenticazione multifattoriale (MFA) per impedire attacchi ai singoli account di posta.
Ulteriori controlli che possono essere posti a garanzia della sicurezza della mail possono essere SPF ((Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-Based Message Authentication, Reporting & Conformance) , per il controllo del contenuto della mail, della sua integrità, per la verifica dell’attore che ha inviato la mail e degli IP dello stesso.
Bisogna poi evidenziare come le minacce possano derivare dalla infrastruttura ad esempio da problemi di host, ma più frequentemente da politiche di sicurezza inadeguate, un esempio purtroppo ancora molto attuale, la scelta di password troppo semplici, o la mancata adozione di adeguate policy per il rinnovo costante delle password. Ed ancora, una scarsa cultura della formazione molto spesso determina genera errori facilmente ovviabili, ad esempio il salvataggio delle proprie credenziali nel browser diventano “preda” facile delle botnet. Sarebbe opportuno che la formazione stessa non fosse sporadica ed irregolare, ma che tutti gli utilizzatori, specilamente i dipendenti di un’azienda fossero coinvolti nei processi di sicurezza.
Il NIST (National Institute of Standards and Technology) ha poi creato dei protocolli funzionali all’aggiornamento delle e-mail in particolare si segnala quello inerente l’affidabilità delle E-mail SP 800-177 Rev. 1.
Rispetto al Cyber Resilience Act allo stato attuale ancora in fase di proposta, sussistono dei problemi di conformità della email, se si pensa alla ratio della norma stessa, ossia lo sviluppo di prodotti con un minor numero di vulnerabilità e con l’onere per i fabbricanti di guardare alla sicurezza durante l’intero ciclo di vita di un prodotto. Di fatto, quanto l’obiettivo della norma è quella di favorire l’utilizzo di configurazioni sicure e preimpostate, al fine di ridurre la possibilità di offrire vulnerabilità ad attaccanti potenziali.
Nell’ottica più ampia possibile il CRA cerca di descrivere quelli che sono i requisiti obbligatori per la sicurezza dei prodotti digitali e tra questi sottolinea la protezione della integrità dei dati memorizzati, trasmessi o altrimenti elaborati, personali o altro, comandi, programmi e configurazioni contro qualsiasi manipolazione o modifica non autorizzata dall’utente, nonché segnalare eventuali corruzioni.
L’UE ha definito la cybersecurity come “l’insieme delle attività necessarie per proteggere la rete e le informazioni sistemi, gli utenti di tali sistemi e altre persone colpite da minacce informatiche” (Regolamento UE 2019/881). Questo può essere messo in relazione con un altro termine riferibile alla, sicurezza delle reti e dei sistemi informativi che l’UE la definisce come “la capacità delle reti e dei sistemi informativi di resistere, a un dato livello di riservatezza, qualsiasi evento che possa comprometterne la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti da, o accessibili tramite, tali reti e sistemi informativi”. Già con la Direttiva NIS e ora con la NIS 2 è sempre più forte la necessità di rendere resilienti alcuni settori considerati critici. Eppure, questo evidentemente contrasta con l’utilizzo una tecnologia come quella della mail se non verranno adottate quelle misure di cui sopra detto.
Malgrado quanto si possa pensare, la mail non è uno strumento particolarmente sostenibile; infatti, ogni messaggio consuma almeno 2 watt e determina un consumo di energia elettrica che impatta negativamente sull’ambiente. Si deve pensare che nell’invio di un messaggio non c’è solo il laptop usato per la creazione e l’invio, ma anche quello del destinatario ed i server coinvolti per il recapito della comunicazione.
Conclusioni
In questo momento non ci sono particolari tecnologie in grado di prendere il posto della mail.
Le App di messaggistica istantanea, oltre ad essere closed source, non garantiscono un’adeguata tutela del dato così come richiesto dalla normativa sopra menzionata.
Talune criticità possono essere risolte privilegiando l’uso di cartelle di scambio e, soprattutto, minimizzando lo scambio di informazioni con beneficio sia per la sicurezza, che per la conformità ai principi di cui al GDPR che, last but not least, per l’ambiente.
A nostro avviso, potrebbe farsi spazio l’utilizzo dei wallet così come descritto nella bozza Eidas II, ossia portafogli europei di identità digitale, dotati anche di firma digitale integrata.