L’utilizzo di sistemi mobili può comportare diversi rischi per la sicurezza spesso non percepiti dalle aziende; conoscerli è invece indispensabile per poter mettere in atto adeguate misure di prevenzione e limitare, per quanto possibile, i danni.
Quando si pensa al rischio intrinseco nell’uso di un dispositivo mobile, quale ad esempio uno smartphone, si è portati naturalmente a considerare la possibile intercettazione delle comunicazioni fra i soggetti impegnati in una conversazione.
In realtà, la complessità di tali dispositivi e la ricchezza di funzionalità offerta da tali strumenti li rendono particolarmente insidiosi e tali da dover seriamente valutare l’autorizzazione del loro utilizzo da parte dei dipendenti e dei visitatori nelle aree dove si svolgono attività che richiedono un adeguato livello di riservatezza e/o privacy.
Una precauzione che stride decisamente con l’attuale realtà che vede un’imperante presenza di tali dispositivi, siano essi aziendali o privati, anche durante i momenti più importanti della vita aziendale, quali ad esempio le riunioni in merito a decisioni strategiche o dei CdA.
Un dispositivo mobile oggi è dotato di numerosi strumenti che consentono la registrazione dell’ambiente circostante: videocamera (spesso anche 2), con la quale è possibile effettuare riprese video comprensive di audio o effettuare fotografie, anche con un’alta risoluzione, di ambienti, persone, documenti o schermate video; microfoni, con i quali effettuare registrazioni audio senza che i presenti se ne accorgano.
Dispositivi di controllo ambientale
Il controllo di un ambiente mediante un cellulare può avvenire dopo averlo lasciato appoggiato su una scrivania (fatto questo considerato assolutamente normale) o mediante la registrazione audio in locale, oppure attivando una chiamata verso un dispositivo remoto dal quale effettuare la registrazione.
L’attivazione della registrazione può essere opera del proprietario del dispositivo, ma al riguardo va anche considerata la possibilità che il monitoraggio dell’ambiente tramite dispositivo mobile sia attivata tramite uno spyware da parte di terzi senza che il legittimo proprietario dello stesso ne sia a conoscenza.
L’uso dei così detti “captatori” informatici, consistenti in software installati all’insaputa della vittima, consente a chi ne controlla l’uso di attivare il microfono o le videocamere al fine di registrare conversazioni o più in generale di captare l’ambiente circostante.
Tali software consentono in realtà di avere anche il pieno controllo del dispositivo, e quindi di accedere anche a e-mail, agende, documenti presenti sul dispositivo stesso.
Recentemente il Codice penale1 è stato modificato per permettere il lecito uso di tali strumenti da parte delle forze dell’ordine, pur limitandone in questo l’ambito d’uso ed il perimetro di controllo.
Ne consegue che non conta la buona fede o l’affidabilità dei propri collaboratori (a tutti i livelli) o anche quella di visitatori, clienti o fornitori che accedono alla propria azienda: quando si trattano temi importanti o riservati è buona cosa non avere dispositivi mobili nelle vicinanze onde evitare fughe di notizie.
Dispositivi di archiviazione
Uno smartphone può essere utilizzato come una memoria di massa.
È sufficiente collegare il dispositivo via cavo o anche in modalità wireless ad un pc (o ad un altro dispositivo mobile) per poter trasferire grandi quantità di dati, che passano così dalla rete aziendale al dispositivo privato. Tale trasferimento può essere rilevato se sono in atto sistemi di tracciatura o può essere impedito se sono disabilitate le porte USB e non sono concessi agli utenti i privilegi per abilitare le connessioni wireless sul proprio pc di lavoro.
Tuttavia l’asportazione di dati può avvenire anche con altri sistemi non tracciabili e che non possono essere presidiati a priori, quali ad esempio la registrazione delle sessioni video mediante la videocamera del dispositivo mobile. Anche se tale pratica non è ovviamente agevole nondimeno è praticabile e, laddove le informazioni da asportare siano molto rilevanti, l’impegno richiesto in fase di acquisizione e decodifica è ampiamente giustificato.
Inutile dire che quanto viene registrato nel dispositivo sia in modo lecito, sia in modo illecito, è poi soggetto a tutti i rischi che derivano dalla possibile perdita o furto del dispositivo o dal possibile accesso illecito a tali contenuti mediante una non oculata gestione ad esempio delle connessioni wireless e USB del dispositivo stesso (anche se ovviamente difficilmente chi ha usato il dispositivo per asportare illecitamente delle informazioni non adotta tutte le precauzioni affinché questo non accada).
Dispositivo come router WIFI
Un altro possibile uso del dispositivo mobile è quello di router WiFi, con il quale collegare dispositivi aziendali non adeguatamente protetti con la rete internet.
Se i dispostivi aziendali sono contemporaneamente connessi alla rete interna si crea in tal modo una falla nella sicurezza perimetrale, non essendo la nuova connessione filtrata dai firewall e dagli altri strumenti di protezione perimetrale.
Per tale motivo, oltre che per evitare l’asportazione di file tramite connessioni wireless, sui dispositivi aziendali dovrebbero essere inibite tali connessioni.
BYOD
Anche se un crescente numero di aziende consente l’uso degli strumenti personali per finalità aziendali, non di meno tale consuetudine comporta dei rischi veramente rilevanti per l’azienda.
I problemi di sicurezza del dispositivo possono ripercuotersi sulla riservatezza delle informazioni aziendali nonostante la presenza di policy anche articolate e complete che regolino questa materia.
Anche la semplice possibilità di accedere alla posta aziendale dal dispositivo mobile, evitando quindi un alquanto rischioso accesso diretto alla rete, è tutt’altro che sicuro.
Accedere alla posta implica in genere la possibilità di scaricare degli allegati oltre ai messaggi stessi, che quindi potrebbero risiedere fisicamente sul dispositivo mobile, il cui livello di sicurezza non può essere presidiato in forma adeguata dall’azienda.
Inoltre potrebbero esserci delle oggettive difficoltà da parte dell’azienda nel garantirsi la possibilità di effettuare dei controlli sul dispositivo del dipendente.
Al riguardo le aziende dovrebbero dotarsi anche di strumenti capaci di riconoscere un dispositivo che tenta di collegarsi da remoto identificandolo come aziendale o privato e rifiutando questi ultimi.
Occupazione del tempo aziendale
È banale affermare che la disponibilità di un dispositivo mobile con attivi molteplici canali di comunicazione (voce, sms, mms, whatsapp…) fa sì che anche durante il normale orario lavorativo una parte del tempo sia dedicata alla relazione con la propria rete di contatti. Questo non necessariamente è un aspetto negativo in quanto la conciliazione di lavoro e vita privata è sempre più all’attenzione sia delle aziende sia del legislatore come anche la recente normativa sul lavoro agile ha evidenziato.
È opportuno quindi che le politiche aziendali non siano in tal senso ostative, in quanto non in linea con le attuali tendenze. Quello che le aziende devono fare è regolamentarne l’uso là dove siano presenti effettivi rischi per la sicurezza aziendale.
1 DECRETO LEGISLATIVO 29 dicembre 2017, n. 216 – Disposizioni in materia di intercettazioni di conversazioni o comunicazioni, in attuazione della delega di cui all’articolo 1, commi 82, 83 e 84, lettere a), b), c), d) ed e), della legge 23 giugno 2017, n. 103. (18G00002) (GU Serie Generale n.8 del 11-01-2018)
