Breve guida per organizzazioni e responsabili della sicurezza per evitare che il nemico si annidi nello smartphone dei colleghi

In relazione alla domanda di maggior mobilità degli utenti di una rete è diventato comune, per quasi tutti, utilizzare lo smartphone o tablet per compiere operazioni di lavoro quotidiano. Questo però espone le organizzazioni a problemi di sicurezza e privacy che, soprattutto alla luce delle normative vigenti, non possono essere ignorati o sottovalutati.

Gli smartphone non possono essere considerati come “dei PC più piccoli” perché hanno sistemi operativi diversi e spesso anche funzioni diverse. Il telefonino smart nasce come strumento di comunicazione personale e intrattenimento, non come strumento di lavoro, né come punto di ingresso della rete interna dell’organizzazione, e, sebbene negli ultimi anni ci sia più attenzione ai bug di sicurezza da parte dei fornitori, non sono ancora pienamente sviluppati strumenti di gestione e controllo delle impostazioni di default che garantiscano una maggior sicurezza. Inoltre l’enorme varietà di proposte sul mercato pone alle organizzazioni il difficile compito di gestire in maniera organica e semplice i dispositivi mobili utente.

Una buona strategia può essere quella di considerare il threat modeling per uno smartphone: conoscendo le minacce sarà più facile capire come mitigarle. Le minacce che possono incombere su un telefonino possono derivare dall’accesso fisico di persone non autorizzate al dispositivo, da applicazioni installate, da reti wireless non sicure oppure dalla disattenzione dell’utente. Esaminiamo insieme questi diversi tipi di rischi.

Minacce fisiche

Il telefono può essere smarrito o rubato, con tutti i dati sensibili dell’utente e dell’organizzazione dentro. Attenzione anche ai punti di ricarica pubblici: sono stati trovati alimentatori pubblici che oltre ad alimentare i telefoni vi introducevano il malware. Inoltre sappiamo che alcuni produttori inseriscono nei loro dispositivi processori o funzioni a livello di sistema operativo che comunicano con server esterni non noti, indipendentemente dalla volontà e dalla consapevolezza dell’utilizzatore. Dal momento che non sappiamo qual è lo scopo di questa comunicazione col supply chain e quali dati vengono scambiati, sarebbe opportuno scegliere apparati che non presentano questo tipo di comportamenti (qualora vengano scoperti!). Si spera che l’agenzia per la Cybersecurity, dovendo occuparsi di certificazione di sicurezza dei prodotti, faccia da punto di riferimento ed escluda quelli sospetti, come sta ad esempio avvenendo in USA e UK.

Applicazioni con (brutta) sorpresa

Nonostante tutti i controlli messi in atto dai gestori degli app store, purtroppo si trovano applicazioni, spesso gratuite, che possono porre seri problemi di sicurezza al telefono anche se usiamo un antivirus, sia perché contengono malware o ransomware, sia perché trasmettono dati personali ad enti esterni in maniera invisibile all’utente. Il problema è anche quando qualcuno se ne accorge e l’applicazione incriminata viene ritirata dagli store, è praticamente impossibile contattare tutti gli utenti che l’hanno installata per informarli del problema e consigliarne la disinstallazione. Così capita che anche applicazioni note come dannose possano rimanere sul telefono semplicemente perché il proprietario non lo sa.

Un’altra minaccia riguarda il sistema operativo dei dispositivi Android: sebbene Android in sé venga aggiornato piuttosto spesso, eliminando problemi di sicurezza, i fornitori dei telefoni che utilizzano un sistema operativo modificato non rilasciano questi aggiornamenti in breve tempo e, per i modelli vecchi, possono non rilasciarli affatto. Addirittura, alcuni marchi particolarmente economici spesso non ne rilasciano nessuno, abbandonando per sempre il telefono subito dopo che è stato acquistato.

Minacce in agguato nell’etere

Già sappiamo che le reti WiFi pubbliche che utilizziamo per connetterci ad Internet da aeroporti e locali pubblici sono un ambiente ostile, perché generalmente non criptano il traffico, che passa in chiaro permettendo a potenziali attaccanti di carpire credenziali e mettersi in mezzo al traffico. Bene, esistono anche delle reti WiFi gratuite create appositamente per catturare il traffico degli ignari utenti. Sembra un film, invece si chiama network spoofing ed è un meccanismo in cui l’aggressore adesca l’utente facendolo andare in rete “gratuitamente”, ma facendo in realtà in modo che tutto il traffico passi da lui.

Altre minacce di questo genere possono poi provenire dall’utilizzo non corretto o inconsapevole di connessioni Bluetooth e NFC, strumenti di cui tutti o quasi i telefonini oggi dispongono.

Social engineering e phishing: a “pesca” di guai

In termini di incidenza, il tipo di minaccia più importante continua ad essere quella rivolta a ingannare le persone. Parliamo di un variegato insieme di strategie che rientrano nell’ampia famiglia del Phishing e del Social Engineering. Sebbene questo sia un problema che affligge tutto il personale, anche quello che non utilizza il cellulare per accedere a file condivisi e servizi aziendali, sul telefono ci sono strumenti ulteriori per creare potenziali danni: lo SMiShing (phishing via SMS) e le chiamate vocali tradizionali. Un esempio di questi giorni è un call center Amazon fasullo che chiama, fa cambiare la password di Amazon, attende in linea l’SMS di verifica del codice di cambio password, e se lo fa dire dall’utente in modo da rubare l’account col secondo fattore di autenticazione.

Altri tipi di minacce di questa famiglia sono un utilizzo “troppo spensierato” dei social media, ma anche applicazioni in realtà aumentata (che fanno sapere “a tutti” la propria posizione fisica) e strumenti di riconoscimento facciale (per TAG, sfruttati dal social engineering). Con tutte queste problematiche e preoccupazioni aggiuntive, come si possono muovere le organizzazioni per permetterne comunque l’uso, senza aumentare le potenzialità di rischio?

Ecco quindi alcuni consigli e best practice da tener presenti quando si pensa all’utilizzo in sicurezza dei telefonini per il personale.

Meglio il “cellulare di lavoro”

È sempre consigliabile fare uno studio sul rapporto costi/benefici, ma probabilmente è più conveniente dal punto di vista della sicurezza dotare il personale di telefonini di proprietà dell’organizzazione, evitando completamente il BYOD: mescolare l’ambiente ludico e personale con quello di lavoro può risultare per l’organizzazione potenzialmente molto più pericoloso di mantenere un ambiente “solo” lavorativo, quindi meglio delimitato. Un enorme vantaggio dell’utilizzo di dispositivi “aziendali” è inoltre l’armonizzazione dei fornitori, dei modelli, delle versioni di Android, e la possibilità di adottare strumenti di management utilizzabili da remoto per forzare le policy.

Policy adeguate al proprio livello di rischio

Insieme al telefonino è opportuno consegnare un documento in cui siano scritte le policy decise dall’organizzazione per l’utilizzo dei dispositivi mobili, che vanno stabilite sulla base della valutazione del proprio profilo di rischio.

Ecco alcuni esempi di cosa queste regole di utilizzo dovrebbero coprire: il corretto e scorretto utilizzo, le applicazioni permesse e quelle che in nessun caso possono essere installate, le politiche di connessione in missione o all’estero, l’antivirus dell’organizzazione (o il MTD, Mobile Threat Defense, una specie di EDR per telefoni), l’utilizzo o il non utilizzo delle WiFi pubbliche, le politiche di utilizzo di strumenti Bluetooth e NFC, il trattamento dei dati personali in caso di gestione remota del dispositivo, cosa fare in caso di furto o rottura o smarrimento, i contatti utili da utilizzare in caso di problemi. Questo documento deve essere sottoscritto dal dipendente alla ricezione del dispositivo.

Personale più consapevole

Nell’ottica di un maggior coinvolgimento e collaborazione da parte dei dipendenti è utile formarli e istruirli all’utilizzo corretto di un device mobile, secondo le politiche dell’organizzazione, chiarire quali siano i pericoli, spiegare le minacce, creare maggiore consapevolezza sul valore delle informazioni (personali e lavorative) archiviate sui loro dispositivi, e dare indicazioni su come comportarsi in caso di emergenza.

Adottare strumenti di Mobile Device Management

L’adozione di Mobile Device Management (MDM), cioè strumenti di monitoraggio e management da remoto dei dispositivi in uso ai dipendenti, è molto utile per applicare le politiche che ci siamo dati, ad esempio bloccare l’installazione di app non permesse, criptare i dati, bloccare il telefono da remoto, accedere al dispositivo anche se è bloccato e rubato. Alcuni di questi strumenti permettono l’installazione di applicazioni da remoto, anche in bulk per gruppi/classi di utenti o telefoni, oppure l’upgrade “forzato” sia delle applicazioni che addirittura del sistema operativo. Ce ne sono molti, anche opensource, ognuno con caratteristiche diverse, e con compatibilità diverse. Strumenti del genere sono essenziali anche per tenere un elenco/inventario aggiornato dei dispositivi mobili dell’organizzazione, cosa che può essere utile per quelle reti che iniziano a pensare al passaggio ad una architettura Zero Trust. La gestione centralizzata di uno smartphone non è possibile quasi mai nel caso che il dispositivo sia di proprietà dell’utente, per questo l’MDM viene applicato su dispositivi dell’ente, tentando di eliminare il BYOD per i telefonini.

Come al solito lo spazio è tiranno e non possiamo aggiungere molto altro, concludiamo col dire che, come tutte le altre cose, l’utilizzo in sicurezza dei dispositivi mobili necessita prima di tutto di strategia, pianificazione e policy, poi di formazione e sensibilizzazione degli utilizzatori, e soltanto alla fine di tecnologia.