Oggi si sente sempre più spesso parlare di “Penetration test”. Ma di che si tratta?

Le procedure di Penetration Test consistono in tentativi di attacchi ai sistemi informatici aziendali da parte di soggetti appositamente autorizzati ad effettuare tali attività.

Concretamente, l’obiettivo perseguito dalle società che decidono di avviare tali test è quello di verificare le capacità di difesa delle reti e dei sistemi informatici aziendali ed individuare le eventuali vulnerabilità presenti, che potrebbero essere sfruttate in caso di tentativi di accesso non autorizzato o attacchi ai sistemi, sia da soggetti esterni, sia da chi opera all’interno della Struttura.

E’ possibile pertanto considerare i Penetration test come uno strumento di controllo della sicurezza dei sistemi e delle informazioni e dati gestiti attraverso di essi.

L’attenzione per tali meccanismi deve essere pertanto ricollegata alla costante e crescente preoccupazione per la sicurezza, dovendosi infatti sul punto rilevare che, al di là degli obblighi normativi che impongono ad ogni soggetto, in quanto titolare del trattamento, di adottare misure di sicurezza minime e idonee, per ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati e di accesso non autorizzato o di trattamento non consentito (cfr. art. 31 D. Lgs. 196/2003), rientra comunque nell’interesse di qualsiasi operatore precludere l’accesso ai propri sistemi a terzi non autorizzati per evitare le conseguenze che potrebbero derivare da un tale evento (si pensi ad esempio ad un utilizzo delle informazioni riservate da parte di concorrenti o alla perdita di dati il cui trattamento è centrale per lo svolgimento dell’attività).

Anche al fine di considerare gli aspetti che meritano maggior attenzione sotto un profilo normativo, occorre richiamare, seppur brevemente, le fasi che caratterizzano lo svolgimento dei Penetraton Test.

Il momento della pianificazione risulta certamente di fondamentale importanza, atteso che il soggetto interessato ad avviare i test di cui si discute, dovrà preliminarmente considerare quali siano gli obiettivi che intende raggiungere con tali strumenti, pianificando i vari aspetti, quali, a titolo esemplificativo e non esaustivo: le risorse economiche e di tempo da voler investire (profilo che incide poi sulla scelta dei soggetti cui affidare l’attività, ma anche sulle concrete modalità di svolgimento dei test), i sistemi da sottoporre ad esame (potendosi infatti optare per una verifica della sicurezza solo di alcuni sistemi, selezionando ad esempio quelli da cui potrebbero derivare maggiori criticità in caso di accessi non autorizzati), i soggetti deputati allo svolgimento dei test (potendosi affidare l’attività a consulenti o società esterni o incaricare il personale dipendente con competenze nel campo informatico), l’opportunità di coinvolgere o meno l’area IT nel caso di affidamento dell’incarico all’esterno (dovendosi sul punto considerare che il coinvolgimento del personale interno, da un lato, potrà facilitare lo svolgimento dei test ma, dall’altro, non consentirà di verificare la capacità dell’area interna ad affrontare le criticità legate a un tentativo di attacco).

Alla pianificazione segue poi la fase di acquisizione e valutazione delle informazioni sui sistemi (la cui conoscenza varierà a seconda che l’incarico sia conferito al team interno piuttosto che a soggetti esterni e, in quest’ultimo caso, anche in base dalla volontà del committente di far svolgere l’attività al penetration tester in assenza di informazioni, oppure solo con alcune o, ancora, con tutte le informazioni possibili che possano facilitare l’individuazione delle problematiche di sicurezza).

Segue poi la fase di analisi delle vulnerabilità rilevate in sede di raccolta informazioni e quella di attacco ai sistemi, attraverso gli stessi strumenti che userebbe un malintenzionato per tentare di accedervi.

La fase successiva è quella di report e assume un rilievo fondamentale sia per il penetration tester (che andrà concretamente a documentare l’attività svolta, come da incarico), sia per la Società interessata (che prenderà concretamente visione delle vulnerabilità riscontrate e delle misure correttive suggerite da chi ha svolto i test).

Se sono pertanto innegabili i vantaggi legati ai Penetration Test, atteso che gli stessi consentono – come detto – di verificare il grado di sicurezza dei sistemi e programmare interventi mirati, tesi a fornire una maggiore garanzia e tutela, occorre però rilevare i rischi e le criticità connessi al loro svolgimento, da cui non può certamente prescindersi in sede di pianificazione.

Si pensi, ad esempio, alla perdita di informazioni o di dati che potrebbe verificarsi durante lo svolgimento dei test o alla possibile necessità di sospendere l’accesso ai sistemi e ai servizi ad essi collegati.

A ciò si aggiungano i profili problematici legati all’ipotesi di affidamento dell’incarico a consulenti esterni, che verranno concretamente a conoscenza delle misure di sicurezza aziendali e delle vulnerabilità dei sistemi e potranno conoscere, anche incidentalmente, i dati personali ivi presenti.

Come procedere allora perché i Penetration Test, da strumento di controllo della sicurezza, non si trasformino essi stessi in criticità?

A tal fine risulta certamente fondamentale effettuare un’attenta analisi in fase di pianificazione, attraverso la quale considerare tutti i possibili rischi che potrebbero derivare dallo svolgimento di Penatration Test, così da valutare i casi, attraverso quali modalità o entro quali limiti poter procedere.

Ove si decidesse di affidare all’esterno lo svolgimento dei test, sarà fondamentale, poi, sia per la società committente, sia per la società fornitrice incaricata, predisporre e definire contrattualmente il contenuto dell’attività, evitando di utilizzare formule generiche, da cui potrebbero derivare contestazioni e/o responsabilità varie.

Così, ad esempio, dovrà essere definito in modo specifico l’oggetto dell’accordo, individuando i sistemi rispetto ai quali dovranno essere effettuati i test e i termini entro i quali dovranno concludersi le varie fasi, con espressa previsione della data di consegna del report finale; dovranno essere regolamentati, con apposita clausola privacy, tutti gli aspetti legati alla titolarità dei dati conosciuti nello svolgimento dell’attività e alla finalità per cui potranno essere utilizzati, concordando altresì i profili legati alla restituzione o cancellazione degli stessi al momento della cessazione del rapporto; dovranno essere definiti in modo chiaro e puntuali le responsabilità e gli obblighi sussistenti in capo alle parti.

Rispetto a tale ultimo profilo potrà, ad esempio, essere individuato, in capo al committente, l’obbligo di effettuare il back up dei dati prima dell’inizio dei test e di non modificare o intervenire sui sistemi durante lo svolgimento dell’attività senza darne previo preavviso e, per il fornitore, l’obbligo di utilizzare tecniche non distruttive, di operare in modo da non compromettere le funzionalità dei sistemi oggetto di attacco e di garantire il rispetto degli obblighi imposti dalla normativa vigente in materia di privacy, ivi compresi quelli in materia di sicurezza e le misure di cui al Provvedimento del Garante per la Protezione dei dati personali del 2007 in materia di amministratore di sistema.

E’ chiaro che le specifiche da considerare e disciplinare variano in base agli obiettivi perseguiti e alle caratteristiche dell’attività per cui si richiede l’intervento del penetration tester. Tuttavia, chi desidera valutare la sicurezza dei propri sistemi attraverso Penetration Test, soprattutto avvalendosi di consulenti o società esterne, dovrà sempre valutare attentamente le possibili criticità legate a tali operazioni ed attivare gli opportuni accorgimenti per evitare che tali utili strumenti di controllo possano invece generare problematiche in termini di sicurezza dei sistemi e delle informazioni.

Pubblicato su A&S Italy n. 26 Aprile 2014