Atti Convegno Cyber Crime Conference 2018 – Alfonso Lamberti, Boole Server
Proteggere e-mail e file: da obbligo a valore aggiunto
Buongiorno a tutti, il mio nome è Alfonso Lamberti e sono Solution Sales Specialist della società Boole Server.
Oggi affronteremo un argomento sensibile per tutti, quello che riguarda la protezione del dato. Quando parliamo di protezione del dato, ci riferiamo a quei dati che riguardano per esempio il know-how aziendale, così come i dati personali trattati dalle aziende e sui quali si focalizza la nuova normativa europea. Vedremo come la proposta tecnologica che presentiamo al mercato risponde all’esigenza di protezione sia dei dati personali senza però perdere di vista il know how aziendale. Boole Server è una società italiana, made in Italy al 100%, l’Headquarter è a Milano dove abbiamo il Centro di Ricerca e Sviluppo. Negli ultimi anni abbiamo aperto una company a San Francisco per seguire il mercato americano e una sede a Monaco per lo sviluppo di business in Europa.
Boole Server, in qualità di Vendor, si impegna a certificare tutto quello che progetta secondo gli standard internazionali dei Common Criteria e questo ci permette di aprire opportunità di business, sia in ambito militare che all’interno di infrastrutture della Pubblica Amministrazione. La società è anche iscritta al registro della Camera di Commercio come PMI innovativa consentendo ai clienti che decidono di investire in soluzioni ad alto livello tecnologico di usufruire dei crediti d’imposta del 50% su spese incrementali fino a un massimo annuale di 20 milioni di euro all’anno. Le soluzioni tecnologiche che presentiamo sul mercato possono essere utilizzate in qualsiasi tipo di settore – dalla Finanza alla Moda, passando dalla GDO, al Manufacturing fino alla Pubblica Amministrazione – e per ogni tipologia di cliente. Proteggere i dati è una priorità di qualsiasi tipo di azienda. Che siano brevetti, anagrafiche, piani di investimento, bozzetti, o quant’altro, qualunque azienda ha la necessità di preservare la privacy del proprio core business e la riservatezza dei dati personali che dovranno essere trattati secondo le nuove direttive Europee finalizzate a garantirne la privacy e la riservatezza. Ci rende orgogliosi il fatto che l’anno scorso le più alte istituzioni dell’Unione Europea hanno scelto BooleBox come piattaforma dedicata alla protezione e condivisione di dati altamente confidenziali.
Inoltre, Boole Server persegue una politica di partnership con diversi player con l’obiettivo di rafforzare la propria immagine di Vendor di Security ad alto contenuto tecnologico. Uno di questi è Amazon su cui si appoggia l’infrastruttura cloud di BooleBox. Utilizziamo inoltre Mailgun come Provider SMTP per le notifiche relative alle operazioni eseguite dagli utenti sui dati, Nexmo e Clickatell come Provider di SMS Gateway esterni all’azienda per rafforzare la fase di autenticazione tramite OTP. Ci integriamo perfettamente con Microsoft Office, Office 365 e Office On Line Server, con GMAIL per la protezione della web mail di Google, con sistemi di classificazione poco conosciuti in Italia ma molto utilizzati all’estero come Titus e Boldon James passando da sistemi di autentizazione di terze parti: CA Technologies e IBM.
Parliamo ora della protezione dei dati e quali sono i punti critici. Tra le principali minacce e fonti di attacco è ancora RILEVANTE l’errore umano specialmente in fase di condivisione dei documenti, seguito dal crescente numero di attacchi dall’esterno che sono stati rilevati lo scorso anno. Tra le tendenze c’è ANCORA un problema enorme di phishing e social engineering, di attacchi veicolati tramite i social, instant messaging o e-mail che puntano a carpire la fiducia e l’attenzione della vittima in modo che faccia qualcosa che non deve fare: aprire un file in allegato con dentro un malware, cliccare un link e fornire le proprie credenziali di accesso ai criminali.
Così come l’attacco dei ransomware, ricordiamo tutti quello che è accaduto lo scorso anno con WANNACRY, Petya e Bad Rabbit che hanno colpito diverse aziende cifrando varie tipologie di file e l’unico modo per tornare ad avere i propri dati era dietro pagamento di un riscatto.
Cresce il numero di utenti che consultano i dati aziendali su device mobili senza rendersi conto dei rischi per la sicurezza, fino al furto intenzionale da parte di utenti interni all’azienda.
È importante rendersi conto che è passato il tempo nel quale il dato non si muoveva dagli storage di rete ed erano sufficienti le misure perimetrali. Oggi il modo di lavorare è cambiato. Il dato è mobile, viaggia e viene intercettato dentro e fuori l’azienda. Tutto questo ha delle conseguenze.
Nessun Amministratore Delegato vorrebbe trovarsi di fronte alle conseguenze mostrate in questa slide. Il furto dei dati è un vero danno per l’azienda e queste sono le evidenti conseguenze che qualsiasi azienda vorrebbe evitare. Quanto è valido l’investimento per l’acquisto di un software rispetto a uno di questi danni. Quando parlo di perdita finanziaria diretta o rallentamento delle attività, intendo per esempio un concorrente che ha rubato un brevetto – non so se ricordate qualche anno fa quando Sony ha subito il furto di tantissimi file – il giorno dopo le azioni erano crollate. Perdita di credibilità, di immagine, fino ad arrivare alla parte di sanzioni normative, per quel che riguarda la gestione di dati personali. Tra 37 giorni diventerà pienamente applicabile il nuovo regolamento Europeo GDPR che definisce “Data Breach o Violazione dei Dati Personali” qualsiasi violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato a dati personali, indipendentemente dalla causa che l’ha generata.
Scopo di questo Regolamento è armonizzare la legge su tutti i 28 stati membri, al contrario di quanto avviene ora con le numerose e diverse leggi nazionali.
A questo proposito il contributo delle nostre soluzioni è in linea con i principali fondamenti del GDPR. In particolare, applichiamo tecniche di cifratura persistenti sul dato, durante tutto il suo ciclo di vita (a riposo, in transito e anche in uso) e tecniche di pseudonimizzazione al fine di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei dati.
La presenza di sistemi di pseudonimizzazione permetterebbe, nel caso si realizzasse un’improbabile violazione dei sistemi, di sollevare il Titolare del trattamento dall’obbligo di dare comunicazione della violazione ai soggetti interessati, poiché i dati “sottratti” non potrebbero essere ricondotti al soggetto a cui si riferiscono. Riprendiamo il discorso sui data breach: le nostre soluzioni permettono di abbattere fortemente l’eventualità di violazione del dato. Il dato infatti è sempre cifrato e non vi si può accedere anche in caso di diffusione non autorizzata.
Altro principio innovativo, introdotto dal nuovo Regolamento è il principio di accountability. Ovvero l’azienda è responsabile di tutto quello che riguarda i dati personali. Se qualcosa succede è l’azienda che deve dimostrare la propria innocenza documentando che ha fatto tutto il possibile. In questo caso le soluzioni di Boole Server permettono di dimostrare che il titolare ha messo in atto un’importante misura tecnica ed organizzativa adeguata a garantire la sicurezza dei dati personali trattati. Il legislatore ha inoltre deciso, come forte deterrente, di elevare le sanzioni rispetto alla vigente normativa.
Nell’ottica GDPR è opportuno prendere coscienza del fatto che non si può sapere quanto si è in corformità, il 100% non esiste, nè nella sicurezza, nè nella conformità. Ma è anche vero che possiamo usare la tecnologia, per avvicinarci il più possibile, limitando i rischi di data leak non solo dal punto di vista tecnologico ma anche da quello della componente umana. Come possiamo allora proteggere i nostri file ed e-mail e adeguarci al gdpr?
La risposta tecnologica che proponiamo ai nostri clienti si basa sull’accesso ai dati con la sicurezza che le informazioni non potranno essere utilizzate in modo improprio. Abbiamo pensato di rendere facilmente accessibile il dato e in totale trasparenza. La user experience dell’utente non cambia. APPLICHIAMO l’encryption a file e e-mail tramite l’algoritmo di livello militare AES 256 e permettiamo la condivisione delle informazioni sia all’interno che all’esterno del network aziendale mantenendo sempre il controllo dei contenuti e con la garanzia che le informazioni non potranno essere divulgate. Tutto questo viene tracciato in tempo reale da un sistema avanzato di auditing.
BooleBox è quindi una piattaforma a 360 gradi di security, moderna e flessibile, che permette di andare incontro a tutte le aziende che hanno necessità di proteggere e condividere informazioni sensibili e confidenziali come brevetti, piani di investimento, stime di budget, comunicazioni riservate del cda. La soluzione tecnologica BooleBox viene declinata in tre modalità: cloud pubblico, On-Premises e anche in versione ibrida.
Per ampliare il raggio di azione possiamo anche cifrare le e-mail direttamente da Outlook: l’utente fa quello che faceva prima, ma avrà nel menu di Outlook il tasto “new encrypted e-mail”. Selezionando il comando, l’invio dell’e-mail o dell’allegato avverrà in modalità cifrata. Le e-mail cifrate rimarrano tali sia sul pc dell’utente sia sui Server di posta. Chi potrà accedere all’e-mail saranno esclusivamente il proprietario e gli utenti destinatari, autorizzati. Con il plug-in Gmail Encryptor, invece, cifriamo la posta elettronica di Google. Le aziende che hanno scelto Gmail sono consapevoli che è un servizio molto semplice e, con l’aggiunta del nostro plugin, sarà anche sicuro. Con il nostro File Encryptor è possibile configurare centralmente regole di cifratura granulari e selettive dei documenti archiviati internamente all’azienda come ad esempio: storage di rete, dispositivi portatili e dischi locali senza alterare le quotidiane attività e procedure operative degli utenti. Garantiamo gli automatismi di cifratura sulla base di parole chiave contenute nei documenti, sulla tipologia dei file e di classificazione. L’apertura dei documenti cifrati in locale avviene con gli applicativi nativi, mantenendo sempre attive le protezioni applicate centralmente da BooleBox.
Sharepoint Encryptor, infine, permette di applicare le protezioni granulari di BooleBox anche sui documenti depositati in Microsoft Sharepoint e consente all’utente di accedere ai contenuti direttamente on line (in modalità agentless) senza avere la necessità di scaricarli in locale e/o tramite gli applicativi nativi installati sul proprio pc. In entrambi i casi verrà garantita la cifratura, il controllo costante delle informazioni e quindi la possibilità di inibire tutte quelle operazioni che potrebbero mettere a rischio il contenuto (ad esempio: la copia, la cattura, la stampa, etc…)
BooleBox racchiude le funzionalità di diverse soluzioni tecnologiche di Security: è una soluzione di content collaboration platform, in quanto permette la condivisione e la collaborazione sui documenti; come le soluzioni di Data Rights Management, BooleBox permette di mantenere il pieno controllo dei dati e il massimo livello di riservatezza. Riprende le logiche di un DLP e implementa sistemi di Classificazione interni alla piattaforma, basando il tutto sull’encryption.
BooleBox presenta una componente web che fa da repository centralizzato e cifrato dei contenuti, accessibile via web e da qualsiasi device, all’interno del quale gli utenti possono archiviare e condividere i dati aziendali con facilità di utilizzo (Dropbox like per intenderci). Si integra con Office 365 e con Office On line Server per l’editing on line in modalità protetta di documenti di Word, Excel e Power Point. Gli editor on line sono integrati dalla funzionalità di versioning, che genera una cronologia delle versioni dei file modificati da tutti coloro che ci lavorano, in modo da avere traccia di tutte le modifiche e risalire facilmente a versioni precedenti. Permette di utilizzare annotazioni grafiche e testuali sui documenti in modo da collaborare in tempo reale con il proprio team e dispone sia di una chat sia di una webmail cifrata. Come le soluzioni di Data Rights Management, mantiene il controllo costante sulle informazioni scambiate, necessità primaria di tutte le aziende. Infatti, in modalità agentless, senza la necessità di installare un agent sul dispositivo, è in grado di inibire le principali operazioni che potrebbero mettere a rischio il contenuti dei documenti, ad esempio: la copia, la cattura, la stampa, fino ad arrivare ad applicare dei filtri antifoto o contrassegnare i documenti con una filigrana indelebile per riconoscere facilmente eventuali tentativi di furto e distribuzione di copie non autorizzate. Inoltre, permette di inibire il download dei file per evitare copie non autorizzate sui dispositivi o assegnare una scadenza alla condivisione sia per data che per tempo, dopo la quale l’utente destinatario non potrà consultare i documenti: il tutto in modo automatico.
Per quel che riguarda funzionalità tipiche di un DLP BooleBox permette di utilizzare un avanzato sistema di reportistica che fornisce informazioni dettagliate su chi ha effettuato l’accesso ai dati, quali operazioni sono state effettuate, quando e dove. I risultati della ricerca sono sempre disponibili in tempo reale e non possono essere manomessi, garantendo in questo modo il controllo completo di qualunque tipo di attività svolte sui dati. Sulla parte di back end della piattaforma i dati vengono destrutturati e questo permette di renderli inaccessibili anche all’Amministratore della piattaforma. Gli unici utenti che potranno accedere alle informazioni saranno gli utenti realmente autorizzati.
La classificazione di BooleBox invece è pensata proprio per semplificare la condivisione di file all’interno di un gruppo di lavoro, senza però MAI abbassare la soglia di sicurezza. Grazie alla Classificazione, si ha una drastica riduzione della possibilità di errore da parte dell’utente finale. Gli strumenti di classificazione consentono quindi di identificare rapidamente i contenuti e applicarvi automaticamente livelli di protezione e condivisione granulari.
Da ultimo, oltre ad applicare l’encryption con algoritmo AES 256 a tutti i file e le e-mail, consentiamo l’utilizzo di chiavi di cifratura personali. Questo nuovo approccio alla protezione e alla cifratura dei dati consente di blindare le e-mail e tutti i tipi di file. In questo modo anche in casi di furto delle credenziali di accesso dell’account di BooleBox o eventuali intercercettazioni non autorizzate dei dati, il loro contenuto non sarà a rischio, in quanto nessuno potrà accedervi senza le opportune chiavi di sicurezza.
In un mondo in cui la trasformazione digitale investe l’intera società e in cui i modelli di relazione tra le persone costituiscono il reale potenziale di crescita per qualsiasi economia, non possiamo permetterci di restare aggrappati ai vecchi metodi di collaborazione e protezione dei dati. E come diceva Albert Einstein: “non possiamo pretendere che le cose cambino se continuiamo a fare le stesse cose.
Alfonso Lamberti, Solution Sales Specialist, Boole Server