“La password più robusta è quella che non si riuscirà mai a ricordare se non scrivendola. Ma se la si scrive da qualche parte è molto peggio”. È intorno a questo paradosso che Corrado Giustozzi, esperto di sicurezza informatica, affida all’AGI un ragionamento su come proteggere i nostri dati e quelli dell’azienda per cui lavoriamo dalle intrusioni malevoli di criminali informatici, come accaduto a un dipendente in smartworking della Regione Lazio, fatto che ha dato il via all’attacco hacker che in questi giorni ha messo in ginocchio i sistemi informatici regionali.
“Oggi vita privata e vita lavorativa online tendono sempre più a confondersi, e l’improvvisata adozione dello smartworking a causa della pandemia ha accelerato questo processo, aggravando la precarietà della sicurezza online di persone e aziende”, spiega Giustozzi, già membro dell’Advisory group dell’Agenzia Ue per la Cybersecurity (Enisa), tra i maggiori esperti in Italia quando si parla di sicurezza.
Per quanto nulla è del tutto al sicuro da un criminale informatico ben addestrato, per Giustozzi ci sono comunque delle buone pratiche da adottare: “In primo luogo la password deve essere sempre lunga e non deve avere in sè una parola di senso compiuto. Nel dizionario italiano ci sono meno di 800 mila lemmi, comprese le forme flesse, e un computer ci mette meno di una frazione di secondo a controllarle tutte”.
In ogni caso, “è necessario utilizzare i caratteri speciali, ma senza esagerare perché usarne 4-5 in una password, tra punti e segni, diventa difficile mandarla a memoria”. Se proprio non si riesce a fare a meno di utilizzare parole di senso compiuto, “sceglierne almeno due, sempre con caratteri speciali” e comunque “mai parole o nomi che possono essere facilmente riconducibili a noi”
Una password pero’ non è per sempre. “Occorre cambiarla spesso, almeno una o due volte l’anno”, continua Giustozzi. “perché nel dark web esistono dump con milioni di password, magari vecchie, e se si trova li’ e verosimilmente è ancora buona un criminale informatico potrebbe provarla, accedere ai nostri account e magari leggere le nostre mail o svuotarci il conto”.
Fondamentale però è non scriverle mai, da nessuna parte: “Se ci si scrive le password su file o su un foglio e mi rubano il file non c’è protezione che tenga”. Un foglio elettronico? “Meglio, ma solo se protetto da password. Nulla che un criminale esperto non sappia violare, ma almeno è protetta da uno che può leggere il nostro schermo o accedere al nostro computer”, spiega l’esperto.
L’urgenza di correre ai ripari sui temi della sicurezza è stata accelerata dai fatti della regione che ospita la Capitale, ma anche dallo smartworking, per Giustozzi vera causa scatenante della recrudescenza degli attacchi informatici: “Immagina, da un giorno all’altro tutte le aziende hanno dovuto far lavorare i propri dipendenti da casa.
Ma il computer che usiamo a casa, seppure con la Vpn, non è protetto a sufficienza. Potrebbe non avere un antivirus aggiornato, o non averlo proprio. Potrebbe essere lo stesso usato dai nostri figli per giocarci, o da noi per fare la spesa. All’interno dell’azienda l’ambiente è controllato, fuori no. Si sono aperti varchi enormi nella sicurezza dei sistemi”.
La Vpn non è sufficiente? “Affatto. Garantisce solo che dall’altra parte del computer ci sia tu, o meglio la tua utenza. Ma se con la macchina in uso si fa qualcosa di potenzialmente pericoloso, o si subisce una violazione, si mette a rischio l’azienda intera. Ci sono molte aziende che hanno adottato lo smartworking molto velocemente, obbligate dalla pandemia, e lo hanno fatto mandando a casa i propri dipendenti sperando che non accadesse nulla di grave o di compromettente. Purtroppo spesso non è andata così”, conclude Giustozzi. Come i fatti di questi giorni sembrano aver dimostrato.