Principi fondamentali della sicurezza informatica

In informatica, il termine sicurezza informatica indica la protezione dell‘informazione e dei sistemi informativi da accessi, utilizzi, modifiche, registrazioni o distruzioni non autorizzate. Lo scopo della sicurezza informatica è dunque quello di garantire cinque punti fondamentali:

1. La confidenzialità: ovvero tutte le misure messe in atto per prevenire la diffusione di informazione verso individui o sistemi non autorizzati (ad esempio, durante una transazione online con carta di credito, ciò avviene se una terza parte non autorizzata riesce ad ottenere il numero della carta in un qualsiasi modo);
2. L’integrità: ovvero tutte le misure messe in atto a garantire che i dati non vengano modificati senza che tale modifica venga rilevata; l’integrità viene violata quando un messaggio viene modificato attivamente mentre transita attraverso un canale di comunicazione, come ad esempio la rete Internet;
3. La disponibilità: affinché un sistema informativo svolga la propria funzione, l’informazione deve essere sempre disponibile quando viene richiesta; questo significa che i sistemi elettronici utilizzati per memorizzare ed elaborare l’informazione, i sistemi di controllo utilizzati per proteggerla ed i canali di comunicazione, utilizzati per accedervi, devono funzionare in maniera corretta. Ciò implica che i sistemi in questione devono risultare disponibili in ogni momento, prevenendo eventuali disservizi causati da mancanza di energia elettrica, guasti hardware o upgrade di sistemi, oltre che essere dotati di misure atte a proteggerli da attacchi mirati a negare la disponibilità del servizio, detti denial-of-service (DoS) attacks;
4. L’autenticità: indica tutti i sistemi utilizzati per assicurare che le transazioni, le comunicazioni ed i messaggi, sia quelli elettronici che quelli fisici, siano genuini, verificando che entrambe la parti coinvolte siano effettivamente quelle che dichiarano di essere;
5. La non ripudiabilità: tutti i metodi utili ad impedire la ripudiabilità dei messaggi; si dice che una parte coinvolta in una comunicazione la ripudia quando nega di avervi preso parte, ovvero afferma di non aver ricevuto, od inviato, un certo messaggio transitato sul canale di comunicazione.

I sistemi più importanti volti a garantire autenticità e non ripudiabilità sono la firma digitale e la cifratura a chiave pubblica. Oltre ai cinque punti sopra descritti, ne sono stati proposti altri, fino ad arrivare ai 33 principi proposti dal NIST (National Institute of Standards and Technology, un’agenzia del governo americano mirata alla  definizione di standard tecnologici).

La sicurezza informatica ha assunto sempre maggiore importanza con l’avvento di Internet: in precedenza i computer costituivano sistemi isolati, o al più erano collegati tramite Intranet: l’unica precauzione necessaria era dunque quella di proteggere l’accesso ai terminali. Con Internet invece la situazione è diventata molto più complessa: si hanno reti di calcolatori molto estese geograficamente, le informazioni vengono trasmesse su lunghe distanze e l’accesso alle reti locali è diventato possibile anche da computer remoti, rendendo quindi necessario sia proteggere le informazioni in transito sulla rete, mediante ad esempio tecniche di cifratura delle stesse, che ricorrere a misure di autenticazione più avanzate per l’accesso a server e reti locali.

Istituzioni governative, militari, finanziarie, gli ospedali e le imprese private conservano grandi quantità di informazioni confidenziali riguardo i loro impiegati, i loro clienti, i loro prodotti, le loro ricerche e le informazioni di tipo finanziario all’interno di computer, che si occupano di archiviarle, di elaborarle e di trasmetterle attraverso la rete ad altri computer. Ovviamente se queste informazioni confidenziali, ad esempio il progetto di un nuovo prodotto da lanciare sul mercato, dovessero finire nelle mani di un concorrente dell’azienda, una tale breccia nella sicurezza potrebbe comportare conseguenze molto negative. Pertanto risulta indispensabile, come requisito etico proteggere i dati sensibili all’interno dei dispositivi informatici.