LA RIFLESSIONE

Lo smart working ai tempi del coronavirus: scenari di quotidiana insicurezza

Il dover fare i conti, all’improvviso, con lo smart working ha portato alla luce numerosi problemi tecnologici, organizzativi e di sicurezza sia lato azienda sia per quel che riguarda i dispositivi personali. Proviamo ad analizzarli nel dettaglio, per non commettere domani gli stessi errori di oggi

16 Mar 2020
G
Marcello Gorlani

Security engineer

In questi giorni convulsi in cui si tenta di contenere l’epidemia di coronavirus, tutti si sono trovati a dover fare i conti con lo smart working. Dal giorno alla notte molte aziende hanno “remotizzato” parte della forza lavoro, a partire dai consulenti (veri o finti che siano) fino ai dipendenti. Questo ha portato a dover analizzare problemi che sono stati nascosti sotto il tappeto fino a ieri e che d’un tratto si sono manifestati nella loro complessità, sia essa tecnologica oppure organizzativa.

Ricordando che l’una non può sopperire alle carenze dell’altra, vediamo cosa sta succedendo partendo dalle basi.

Tutti a casa, ma adesso come mi connetto?

L’idea di lavorare dal tinello di casa, col tempo scandito dalla pendola e il gatto sui piedi, assume diverse cose: avere una connessione ad Internet, un dispositivo con cui connettersi e, lato azienda, un concentratore VPN pronto ad accoglierci.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

L’assunzione che tutti abbiano Internet a casa è assolutamente sbagliata. A differenza della vecchia linea POTS che non mancava mai, Internet può mancare perché non lo si utilizza diffusamente (tanto le vacanze le prenoto al lavoro), perché per WhatsApp è sufficiente il 3G sul telefonino o perché la nostra zona non è servita del tutto, oppure con servizi poco prestanti (ADSL da 1 Mbit e traballanti).

Oltretutto, stando tutti in casa, anche una linea che “normalmente se la cava” può rivelarsi al limite con diverse persone che la usino per fare videochiamate e usare applicazioni remote mentre i figli guardano i cartoni animati in streaming e giocano con la Playstation.

La scarsa sicurezza dei dispositivi personali

Il secondo fattore è quello del dispositivo: essendo passati dalla situazione in cui le case avevano i PC a quelle in cui ci sono i tablet, migliori per chi semplicemente fruisce e non produce contenuti, fa sì che il ricorso al BYOD (Bring Your Own Device, che in italiano si traduce con: “porta il tuo dispositivo” o con un più realistico “arrangiati con quel che trovi”) non stia portando a risultati ottimali.

Pur con la buona volontà dettata dalla contingenza, essere produttivi su un tablet da 100 euro non è facile: molte applicazioni, terminalizzate negli ultimi giorni e in qualche modo (la sola fruizione remota delle applicazioni richiederebbe una trattazione a parte), rimangono pensate per gli schermi moderni e restano inusabili.

I più fortunati hanno un laptop personale, problema che affronteremo tra poco. Qualcuno infine ha l’agognato laptop aziendale: merce rara oggi, dal momento che i distributori sono sforniti dei lotti numerosi che le aziende stanno richiedendo e che comunque richiederebbero parecchia attività di setup, secondo la preparazione dell’azienda, per essere resi operativi dallo staff IT sempre più ridotto che frequenta gli uffici.

Il problema delle VPN

C’è poi il lato VPN: è necessario che l’azienda abbia un concentratore VPN che sia in grado di reggere. Cosa significa reggere? Che la macchina sia dimensionata per gestire le centinaia, o migliaia, di utenze invece che i soliti 30 consulenti od operatori remoti. A sua volta ciò implica che l’hardware sia correttamente dimensionato ma anche che abbia un numero di licenze adeguato, ed in questo i vendor sono maestri nel complicare la situazione.

Infine, la connettività dell’azienda deve essere sufficiente a gestire tutto il traffico: in molti casi si può rimodulare il contratto con i fornitori, in altri è necessario un cambio di tecnologia che però, con personale telco ridotto e lavori fermi, diventa ancora più impraticabile del solito.

Quindi se i buchi nel formaggio si sono allineati (fibra in casa, laptop, VPN che sale al primo colpo e applicazioni disponibili da remoto) siamo a posto? No, non siamo a posto. Possiamo nel migliore dei casi provare a lavorare.

Gestire lo smart working, lato azienda

Ma cosa succede dal lato interno all’azienda in questi giorni di VPN per tutti? Succede che entra un traffico dati a dir poco anomalo. Lo è per questioni evidenti, visto che la VPN prima era utilizzata da una manciata di persone, ma anche per questioni legate all’operatività delle persone e alla tecnologia in uso. Provo a spiegarmi.

Una VPN non è un semplice “filo crittografato” che connette il mio PC all’azienda, ma un insieme di procedure operative e di sicurezza. In questi giorni di “fate alla svelta” entrambe stanno saltando.

Si comunicano le password per mail, si spediscono certificati digitali in allegato, si creano ACL che consentono a tutti di raggiungere tutte le sottoreti aziendali, si disabilitano le autenticazioni a due fattori, si installano sui terminali software di controllo remoto con configurazioni di sicurezza imbarazzanti. E si spengono gli allarmi degli IDS, si mettono gli IPS in “detect”, buon modo per dire che non sono spenti ma non servono granché. Per forza, in questo flusso anomalo per definizione tutto è strano e tutto fa suonare qualche campanella, c’è altro da fare che inseguire ogni segnalazione come già si fatica a fare negli scenari nominali.

Pur di dare dispositivi agli utenti remoti sono tornati dai magazzini vecchi portatili con Windows XP e il modem a 56 k integrato e l’antivirus scaduto nel 2008. Policy di sicurezza, password ecc. non pervenute. Fino a un mese fa discutevamo di quale MDM (Mobile Device Management) fosse più efficace per gestire i dispositivi mobili e remoti, oggi basta che respirino (pardon, che si accendano).

L’uso dei dispositivi di proprietà degli utenti rispecchia la stessa situazione: macchine spesso antiquate come software, senza ovviamente policy adeguate allo standard aziendale ma, soprattutto, con installato qualsiasi cosa: dal software per i torrent ai 100 programmi “free” che velocizzano il PC zippando la RAM e moltiplicando i processori per 4, alle 10 copie di Photoshop “mio cugino edition” scaricate dal sito di warez: in buona sostanza uno zoo di malware di ogni tipo che da oggi ha un tubo che li porta dritti verso la rete aziendale dove nella migliore delle ipotesi qualche patch sui server l’abbiamo messa, ma quelle macchine con Windows 2003 sono ancora lì.

Neanche parlare poi del problema di commistione tra dati personali e dati aziendali in uno stesso ambito, pur se a dire il vero non sempre il problema è approcciato correttamente anche in tempi normali.

Considerazioni finali

Ho la fortuna di non aver vissuto di persona nessuna guerra di quelle tradizionali, ma da anni mi muovo in quello che oggi è il “dominio cyber”; ciò che vedo è la creazione di condizioni che non promettono nulla di buono; con la scusa dei tempi eccezionali che richiedono soluzioni eccezionali stiamo abdicando a molte delle basi di sicurezza acquisite con molta fatica negli anni recenti e non ci sono dubbi che questo sia sbagliato.

Bisogna approcciare le regole, che devono restare, in maniera più elastica ma sempre all’interno di un percorso che deve avere dei limiti. Chi può permettersi di operare in questo modo? Solo quelli che hanno qualcosa che va oltre la “competenza” in ambito di sicurezza IT, ma quelli che hanno sviluppato una “cultura” in tal senso. Oggi che stiamo abbassando le difese tecnologiche restano solo quelle date dalla formazione e, in un certo senso, dalla sensibilità maturata di conseguenza dalle persone.

Quando affrontiamo i data breach vediamo aziende che dopo la violazione faticano a rialzarsi, ed alcune che non ce la fanno nemmeno. Per questo a mio modo di vedere scusare il lassismo sulla sicurezza con le condizioni emergenziali porterà a problemi nel breve e medio periodo che saranno estremamente difficili da gestire.

Da questa emergenza potremmo imparare un sacco di cose: gestione del lavoro da remoto in termini di tecnologia, verifica della produttività e procedure, come gestire la sicurezza in ambienti con controlli più laschi rispetto ad un ufficio presidiato, come formare lo staff di sicurezza per gestire questi nuovi pattern di utilizzo delle risorse IT. La mia impressione è che non avverrà nulla di tutto questo, anzi: i “buchi” creati in questi giorni di affanno diventeranno strutturali.

Sarò pessimista ma la lezione sarà stata subìta, dura e non imparata. E no, non andrà tutto bene.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr