La confidenzialità è una delle caratteristiche della sicurezza informatica, insieme alla disponibilità e all’integrità.
La trasformazione digitale sta cambiando il nostro modo di vivere e di lavorare. Il numero di dati che creiamo cresce costantemente ed essi diventano sempre più appetibili per i cyber criminali. Al tempo stesso gli ambienti informatici sono molto più complessi rispetto al passato e creano una superficie di attacco più ampia e, di conseguenza, più difficile da tenere sotto controllo.
Non è un caso che il numero degli attacchi informatici sia in continua crescita. I dati del rapporto Cludit 2024 ci dicono che nel 2023, in Italia, i cyber attack sono aumentati del 65% rispetto all’anno precedente: un dato che deve farci riflettere su quanto sia importante proteggere i nostri dati.
In questo articolo andremo ad esaminare la relazione che esiste tra la confidenzialità e la crittografia, una delle tecniche di protezione dei dati.
Sicurezza dei dati e confidenzialità
La chiamano la triade CIA (Confidentiality, Integrity and Availability) e sono i tre pilastri della sicurezza informatica.
In particolare, la confidenzialità consiste nel garantire che i dati e le risorse siano preservati da possibili accessi o utilizzi, da parte di soggetti non autorizzati, durante tutte le fasi del loro ciclo di vita (immagazzinamento, utilizzo o transito lungo una rete di connessione).
La confidenzialità può essere compromessa in seguito ad un errore umano o per un attacco malevolo.
Una delle tecniche usate per tutelare la confidenzialità dei dati di un sistema informatico è quello di utilizzare la crittografia.
Crittografia: cos’è e cosa non è
Per comprendere cos’è la crittografia partiamo dal dire cosa non è.
La crittografia non è una tecnica usata per difendersi dagli attacchi informatici, ma è una tecnica che serve a proteggere i dati rendendoli privi di ogni significato nel caso in cui qualcuno dovesse impossessarsene indebitamente, cioè nel caso in cui dovesse venire compromessa la confidenzialità del dato.
In altre parole, la crittografia è una tecnica che permette di alterare il messaggio, in modo che questo possa essere compreso solamente dal suo legittimo destinatario. È come inviare al destinatario un messaggio in codice che solo lui può decifrare conoscendo il codice segreto.
Nella crittografia il mittente deve cifrare il messaggio: per farlo utilizza un algoritmo crittografico basato su una funzione matematica che nasconde il testo. A sua volta, il destinatario deve decifrare il messaggio e per farlo usa una chiave digitale che rende i dati accessibili. Quindi la crittografia è uno strumento che garantisce la sicurezza delle comunicazioni in rete.
Crittografia simmetrica e crittografia asimmetrica
A seconda della chiave usata per cifrare e decifrare un messaggio, si parla di crittografia simmetrica ed asimmetrica.
Nella crittografia simmetrica, detta anche a chiave privata o a chiave condivisa, il mittente e il destinatario usano la stessa chiave per cifrare e decifrare il messaggio.
Invece, nella crittografia asimmetrica mittente e destinatario usano una coppia di chiavi. Il messaggio viene cifrato mediante una chiave pubblica, cioè una chiave che può essere condivisa con chiunque. Invece, una chiave privata, segreta, viene impiegata per decifrare il messaggio.
Una chiave crittografica è una stringa alfanumerica che permette di decodificare le informazioni protette dalle stesse.
Chiaramente, più una chiave è complessa e lunga, a parità di algoritmo, è minore è la probabilità che essa possa essere scoperta da un cyber criminale.
Quali sono i principali impieghi della crittografia?
Moltissimi sono gli impieghi della crittografia nella protezione dei dati da accessi non autorizzati. Vediamone alcuni.
Nelle comunicazioni il protocollo HPPTS (HTTP Secure) utilizza la crittografia SSL/TLS per garantire la sicurezza delle connessioni tra browser e server web.
Quando vengono archiviati dati sensibili su computer, smartphone, chiavette USB o hard disk esterni la cifratura rende i dati inaccessibili a chi non possiede la chiave di decrittazione.
I sistemi di pagamento online e le transazioni finanziarie vengono protette grazie alla cifratura in modo da prevenire possibili frodi e accessi non autorizzati ai dati sensibili degli utenti: le carte di credito, ad esempio, usano protocolli crittografici.
Le applicazioni di messaggistica istantanea come WhatsApp e Telegram si avvalgono della crittografia end-to-end per garantire che solamente il mittente ed il destinatario del messaggio siano in grado di leggerlo. Con questo metodo i dati vengono crittografati sul dispositivo del mittente e decrittografati solo sul dispositivo del destinatario.
Crittografia e protezione dei dati personali
La crittografia svolge un ruolo fondamentale nel garantire la confidenzialità dei dati grazie all’impiego di algoritmi robusti e di protocolli sicuri: nel caso in cui un attacco hacker dovesse andare a segno, i dati ai quali i criminali informatici avrebbero accesso sarebbero praticamente inutili.
Chiaramente, ci sono dati che hanno un livello di criticità e di segretezza maggiori: pensiamo ai dati sensibili o a dati strategici per il business di un’impresa. E’ di vitale importanza che essi non entrino nelle mani delle persone sbagliate. Proprio per questo, è bene che i dati sensibili vengano archiviati e trasmessi usando la crittografia.
In alcuni settori la cifratura dei dati è anche un obbligo di legge. Ad esempio, le norme sulla portabilità e la responsabilità dell’assicurazione sanitaria (HIPAA) impongono ai fornitori di servizi sanitari di crittografare le informazioni sanitarie elettroniche protette.
Invece, l’art.32 del GDPR, al paragrafo 1, afferma che i titolari del trattamento o i responsabili del trattamento devono implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio. Ed indica, tra queste misure la cifratura dei dati personali. Il testo non precisa la metodologia di cifratura da applicare, ma la individua come una delle misure da adottare per garantire la protezione dei dati personali.