L’instant messaging è uno strumento consolidato sia per le relazioni personali che per quelle professionali. Ogni giorno, infatti, i professionisti ‘chattano’ con colleghi e clienti, condividono documenti e informazioni sensibili attraverso strumenti che spaziano dalle piattaforme di collaborazione alle app di messaggistica come WhatsApp e Telegram. In particolare, secondo quanto riportato da Federprivacy, queste ultime sarebbero usate per condividere dati sensibili dell’azienda addirittura dal 75% dei dipendenti.
Tutto ciò solleva un tema di sicurezza e confidenzialità delle informazioni che transitano in questi sistemi. Mentre il dibattito sulla cyber security spazia dall’intelligenza artificiale alla microsegmentazione delle reti, in molte realtà informazioni strategiche e documenti sensibili transitano su smartphone personali, magari non aggiornati e connessi a reti non sicure, per raggiungere i propri destinatari attraverso app di messaggistica nate per l’utilizzo personale.
La pandemia, intensificando l’adozione del remote working, ha peraltro rafforzato questo fenomeno. Non è un caso che il cybercrime avente per oggetto le comunicazioni aziendali, soprattutto quelle su dispositivi mobile, app di messaggistica e piattaforme di vario tipo, sia in forte crescita: la scarsa consapevolezza dei rischi, una sterminata platea di vittime, strumenti poco sicuri e dati di grande valore si sommano ‘creando’ un mercato appetibile e proficuo per i cyber criminali. Quasi scontate le conseguenze: estorsioni da parte di cybercriminali, rivelazioni di informazioni di valore, gravi danni economici e patrimoniali diretti, ma anche indiretti quali la violazione di codici deontologici e contratti verso clienti o altre terze parti, esposizione a procedimenti di responsabilità civile e molto altro, compresi i danni di immagine, reputation e trust.
La sicurezza delle piattaforme di collaborazione
Tra gli strumenti utilizzati ogni giorno per le comunicazioni business troviamo le piattaforme di collaborazione, che offrono diverse funzionalità finalizzate a coordinare e supportare il lavoro di dipendenti che si trovino ad operare in luoghi diversi, sia che si tratti di attività in tempo reale, che attività comuni ma asincrone.
Questa tipologia di strumenti è stata pensata principalmente per aumentare la produttività di un gruppo di lavoro, soprattutto in un contesto di Smart Working o di mobilità. I software di collaborazione, per definizione, devono essere accessibili in modo ubiquo con vari tipi di dispositivi (PC, smartphone, tablet) e pertanto devono risiedere in cloud, che può essere proprietario o commerciale, cioè gestito direttamente da chi sviluppa il software stesso.
Questo scenario solleva diverse considerazioni in termini di sicurezza. È importante, per esempio, verificare gli accessi e controllare gli elenchi dei partecipanti alle riunioni, specialmente quando qualcuno si collega con uno smartphone ed appare (magari in chiaro) il numero di telefono. Bisogna fare attenzione all’archiviazione di contenuti multimediali e file, che auspicabilmente dovrebbero essere criptati con accesso riservato e ristretto secondo le strette necessità di utilizzo. I tool di comunicazione (chat, call, videochiamate) dovrebbero basarsi su canali sicuri protetti con crittografia end-to-end e generazione continua delle chiavi (double ratchet). Purtroppo, il contesto attuale dei software di collaborazione mette in evidenza metodologie molto meno radicali in termini di sicurezza.
Ce lo conferma Luca Feletti, Project Manager di Crypty, l’azienda che sviluppa e commercializza l’omonima app di messaggistica, pensata per miscelare la semplicità della User Experience consumer con la sicurezza di uno strumento nato proprio per proteggere le comunicazioni professionali. «Le piattaforme di collaboration sono nate per favorire la produttività del gruppo di lavoro – ci spiega Feletti -. Il terminale può essere fornito dall’azienda e ci sono certi livelli di sicurezza e di controllo, ma anche dei limiti: questi software nascono infatti come web application, non come mobile application, e quindi ripongono buona parte della sicurezza sul protocollo HTTPS e faticano quando si parla di end-to-end encryption”.
Who's Who
Luca Feletti
Inoltre, le piattaforme attuali sono modulari e fondate sull’integrazione di moduli anche esterni, per cui emergono ulteriori fattori da considerare e potenziali falle in termini di security e data protection.
App di messaggistica, quando la “end-to-end encryption” non basta
Rimanendo in ambito sicurezza, che dire allora delle app di messaggistica consumer che così frequentemente vengono usate per i rapporti professionali? «Le app mobili consumer più popolari – aggiunge Feletti – sono strumenti nati per le comunicazioni tra privati, in cui la sicurezza e la riservatezza non è un requisito. Inoltre, i contatti personali e professionali vengono miscelati e i contenuti dello smartphone non sono protetti. Un malware può creare danni enormi”.
Facendo l’esempio di WhatsApp, tutte le volte che avviamo un nuovo canale di comunicazione l’applicazione ci avvisa che la chat è protetta dalla crittografia end-to-end, che di fatto rende inefficaci gli attacchi man-in-the-middle. Per quanto riguarda Telegram vale la pena ricordare che la funzione di crittografia end to end è resa disponibile come possibilità da reimpostare manualmente ogni volta e che quasi nessuno utilizza. La end-to-end encryption è un pilastro nella protezione delle comunicazioni mobili, ma da sola non basta. Come ci spiega Feletti, «in questo caso, il problema non è più il canale ma le due estremità”. Ci sono infatti rischi connessi alle vulnerabilità di sistemi operativi non aggiornati, ai malware, alla connessione da reti non sicure e molto altro. Per vincere la sfida occorre creare un’area protetta e segregata rispetto al resto dello smartphone, nella quale far confluire solo i dati e i documenti aziendali. Occorre poi implementare un sistema sempre attivo di protezione dalle minacce, che possa giungere fino alla cancellazione automatica dei dati.
La comunicazione ‘GDPR compliant’ e i benefici di Crypty
Quando si parla di soluzioni in ambito aziendale, un tema centrale è la compliance con il GDPR. Il responsabile del trattamento, ovvero l’azienda i cui dipendenti usano l’app o la piattaforma di collaborazione, deve essere infatti in grado di fornire informazioni circa i dati oggetto del trattamento: quali sono, dove sono archiviati, in che modo vengono usati e come sono protetti.
Parlando di app di messaggistica, i primi dati sono quelli delle identità. Le app consumer richiedono un numero di telefono o almeno un’e-mail, che sono dati sensibili: come vengono trattati e dove sono archiviati? Dove sono ubicati i server? Se la piattaforma prevede un upload della lista contatti, come si ottengono e si gestiscono i consensi?
A queste domande, fondamentali in termini di sicurezza e privacy, Crypty risponde in modo molto efficace: «Per essere conformi con il dettato del GDPR – aggiunge Feletti – anonimizziamo il più possibile le informazioni e limitiamo la gestione su server ad un set minimo di metadati; le informazioni sensibili sono mantenute cifrate e protette in aree locali, inaccessibili, dei dispositivi mobile delle utenze”.
L’app offre crittografia end-to-end, protezione da malware e trojan e, in fase di registrazione, non richiede dati sensibili: acquistati gli abbonamenti, vengono generati degli account anonimi, di modo tale che nessuno possa sfruttare il numero di telefono ai fini di marketing o per la localizzazione dello smartphone. «Nel nostro caso il tema del GDPR si risolve alla fonte – aggiunge Riz Zigliani, CEO del Gruppo Uniquon, di cui Crypty fa parte – perché non trattiamo nessun dato se non quelli strettamente necessari, e comunque non i contenuti delle comunicazioni. Sappiamo solo che due ID alfanumerici hanno avviato una comunicazione e quanto è durata, ma non abbiamo modo di risalire all’identità della persona, al suo telefono o e-mail. Solo l’azienda cliente può associare l’ID alla persona: nei nostri server, i dati sono pressoché nulli”.
Crypty mette la sicurezza al centro, e garantisce la compliance GDPR per le aziende clienti. Tutto ciò, pur garantendo la medesima esperienza delle app consumer e le stesse funzionalità delle piattaforme di messaggistica più diffuse. A tutto ciò, Crypty aggiunge poi la possibilità di optare per la versione on premises.
