LA GUIDA PRATICA

Business instant messaging: cos’è e perché è utile per la sicurezza delle comunicazioni aziendali mobili

È sempre più frequente l’uso di WhatsApp e app simili anche per il business instant messaging, oltre che per quello personale, ma questo comporta grandi rischi per sicurezza e riservatezza delle conversazioni. Ecco come difenderci

12 Mag 2022
P
Fabrizio Pincelli

Giornalista

È inutile negarlo, l’instant messaging lo usiamo tutti e molto spesso senza fare distinzione se per motivi personali o per comunicare informazioni lavorative anche molto delicate. Questa pratica, seppure eseguita con le migliori intenzioni, può mettere in serio pericolo dati strategici o sensibili.

È quindi necessario porre grande attenzione quando si usa lo stesso smartphone sia nel tempo libero sia al lavoro perché ogni app scaricata, ogni link cliccato e ogni messaggio non sicuro possono aprire le porte a serie minacce, non solo per le informazioni memorizzate nel telefono, ma anche per ogni conversazione tramite voce o chat.

Le strategie commerciali si comunicano con WhatsApp

In una recente indagine, Juniper Research ha riscontrato che ogni minuto al mondo vengono inviati 41 milioni di messaggi da un’app di instant messaging e che il mobile business messaging è aumentato a livello globale del 10%, passando da 2,5 trilioni a 2,7 trilioni (ricordiamo che 1 trilione equivale a 1 miliardi di miliardi, una cifra con 18 zeri). Il ricorso alla messaggistica è evidentemente una pratica più che consolidata, ma proprio per questo è molto rischiosa quando la si utilizza per scopi di business.

“La sicurezza non è però solamente una questione di tecnicismi, di algoritmi e cifrature, ma dipende anche dal contesto – dice Luca Feletti, Project Manager di Crypty –. Di instant messaging abbiamo pletore di soluzioni consumer, più o meno valide. Indagini indicano che un 50% delle persone ammette di usare WhatsApp per divulgare le proprie strategie commerciali e tecniche. Questo è un rischio, non tanto per la malafede di chi sviluppa tali applicazioni quanto perché si crea una sorta di zona sfumata tra l’ambito business e quello personale condividendo i numerosi rischi che comporta l’uso di app consumer”.

Una bolla all’interno del telefono

Va quindi da sé che sia basilare poter svolgere l’attività di comunicazione professionale separata dall’ambito personale. In questo, per esempio, soluzioni come Slack o Teams sono d’aiuto perché sono gestite da un amministratore di sistema che controlla account e accessi. “Ma la situazione rimane confusa – sottolinea Luca Feletti – perché c’è la stessa separazione che si ha nel Bring Your Own Device (BYOD) tra l’uso professionale e privato. Servirebbe invece un’applicazione che crei una zona protetta, dedicata e separata dal resto dei media sul device. Un’app come Crypty, che allestisce una sorta di bolla all’interno del telefono e lo protegge da intrusioni malevole, come quando un trojan si installa e acquisisce i permessi di accesso al cuore del dispositivo, prendendone, di fatto, possesso”.

Crypty non protegge il telefono, protegge le informazioni e i dati; quindi, rileva se un trojan attacca e cerca di compromettere l’area di memoria in cui risiedono dati dell’app Crypty. L’attacco rilevato viene subito evidenziato e segnalato, predisponendo le contromisure necessarie per salvaguardare la privacy e l’integrità delle informazioni e dei media gestiti e condivisi tramite chiamate voce, messaggistica, conference call o chat di gruppo.

“Quando una persona ha in mano uno smartphone si può stare certi che, per esempio, scaricherà qualche applicazione – prosegue Luca Feletti – e questa operazione comporta il rischio di rendere vulnerabile il dispositivo. Crypty nasce per proteggere le informazioni, per creare una zona franca inaccessibile e, se c’è un tentativo di ingresso, che venga rilevato. In base a livelli di sicurezza e protocolli, che sono settabili dall’utente, c’è anche la possibilità di cancellare istantaneamente tutti contenuti della app Crypty nel momento in cui si rileva il trojan”.

L’inconsapevolezza è un potenziale pericolo

Quello che sostiene il team di Crypty è che non si possono cambiare le abitudini degli utenti, anche se portano inevitabilmente a limitare e indebolire i presidi di sicurezza nei dispositivi utilizzati per comunicare. L’hackeraggio è un problema serio, perché può portare a furti di dati e ransomware, quindi alla richiesta di un riscatto. Il fatto di usare lo smartphone di proprietà in reti non sicure non espone tanto l’applicazione ai rischi quanto il device stesso. Se questo viene compromesso, e al suo interno non ha delle aree di memoria di sicurezza, tutta la parte business e commerciale viene esposta ai cyber criminali che hanno sferrato l’attacco.

“Per cui la bolla è essenziale – precisa Luca Feletti –. È essenziale un meccanismo che controlli e rilevi la presenza di trojan. Questo però non vuol dire installare un antivirus o un antispyware sui nostri telefoni, ma verificare se ci sono programmi che accedono a livello di root, creano traffico anomalo o cercano di aprire una breccia per carpire quei dati crittografati che si sta proteggendo. Se identifica una minaccia, Crypty la segnala all’amministratore dell’applicazione dell’azienda Cliente o all’utente, e attiva le misure pre-configurate: il blocco della comunicazione, la sospensione del dispositivo e dell’account, il reset dei canali di comunicazione, potendo arrivare, infine, al wipe, la cancellazione totale della app Crypty. Questo per proteggere tutte le informazioni e i dati”.

Business instant messaging: una sicurezza completa

Le soluzioni di instant messaging generalmente sono sviluppate integrando solo alcuni criteri di sicurezza. La crittografia end to end non sempre è attiva di default (a volte, addirittura, non è disponibile) e alcuni strumenti di comunicazione si basano solo sull’uso di canali TLS. Spesso l’account è associato a informazioni sensibili (numero di telefono indirizzo e-mail dell’utente, metadati), che possono essere condivisi e rivenduti senza riguardo di alcuna privacy.

Crypty nasce, invece, con l’idea di integrare tutti i presidi di sicurezza disponibili per rendere sicuri tutti i livelli della comunicazione: canali protetti e cifrati end to end, con double ratchet, applicati a tutte le forme di comunicazione; autenticazione dei canali client server; livelli di trasporto TLS con payload certificati e cifrati; cifratura degli archivi media; account anonimizzati e assenza di metadati salvati su server.

Molto più di un’app di messaggistica

Riz Zigliani, Ceo di Uniquon sottolinea che “Crypty non è semplicemente una app di messaggistica, ma una piattaforma di comunicazione sicura a 360 gradi per il business, con importanti funzionalità come le chiamate voce, le conference call, le conference di gruppo, lo streaming e molto altro ancora. La sicurezza, quindi, è molto estesa”.

“Questo è l’approccio con cui si dovrebbe implementare un’applicazione sicura di business instant messaging – aggiunge Zigliani –. Bisognerebbe poi adottare una comunicazione sicura end-to-end, procedere all’autenticazione dei canali su cui viaggia tale comunicazione e avere la separazione degli archivi con i media interscambiati in ambito professionale rispetto agli archivi di media intercomuni del terminale mobile, meglio se criptati. Questi sono i tre capisaldi che non possono mancare in un’applicazione sicura di business instant messaging”.

Un limite, però, della crittografia end to end è che è necessaria, ma non sufficiente perché cripta il canale di comunicazione, ma non i due punti estremi dove l’informazione resta esposta agli attacchi dei trojan. E un eventuale attacco cerca tutte le falle di sicurezza all’interno di una soluzione.

L’anonimato degli utenti nel business instant messaging

Crypty si può dire che incarni il concetto di sicurezza by design. Infatti, tutto è improntato alla security, a partire dal processo di acquisto. Nessuno può sapere chi sia il possessore di uno specifico account perché per attivare l’applicazione non serve mettere né il numero di telefono né l’indirizzo mail. Per cui un cliente, che può essere solo un’azienda considerato che Crypty non vende a privati, deve fornire una partita IVA, un nome e una società.

“Noi vendiamo pacchetti di abbonamenti, ma non sapremo mai chi le userà – precisa Riz Zigliani –. Nei nostri server non conserviamo i messaggi o le telefonate, non memorizziamo nulla. Ogni account è un identificativo non vincolato all’identità dell’effettivo utente; perciò, può essere anche un codice alfanumerico o uno pseudonimo associato a una password. Non conosciamo il contenuto delle chat, non possiamo ascoltare le telefonate o le conversazioni perché sono crittografate e vengono decodificate tra i terminali della comunicazione. Non dobbiamo gestire grossi archivi di dati e tutta l’architettura è molto più al sicuro sia dagli attacchi verso il nostro server sia dagli attacchi alla privacy e alla sicurezza dei dati dei nostri clienti. I server sono in Europa e la nostra applicazione è conforme alle direttive imposte dal GDPR”.

Contributo editoriale sviluppato in collaborazione con Crypty

@RIPRODUZIONE RISERVATA

Articolo 1 di 5