Diritto e Fisco | Articoli

Hacker contro gli studi legali

20 Novembre 2013
Hacker contro gli studi legali

Come si può tutelare l’attività del proprio studio legale dai rischi provenienti dalla rete?

Si moltiplicano in ogni Stato gli scandali legati alle intercettazioni abusive e allo spionaggio, anche a carico di Capi di Stato. Spesso, però, non è necessario andare molto lontano per trovarsi di fronte a situazioni critiche anche nel proprio ambiente lavorativo.

La diffusione delle tecnologie informatiche, la loro miniaturizzazione e l’enorme successo che sta avendo il cosiddetto Cloud Computing [1] comportano, infatti, problematiche che non vanno trascurate, ad esempio da parte dei professionisti legali, siano essi nel proprio studio o incardinati all’interno di una azienda.

Una nuova frontiera dei pirati informatici è infatti proprio quella di attaccare sistematicamente gli studi legali. Ciò per il fatto che, come detto, spesso l’avvocato detiene importantissime e preziose informazioni dei propri clienti, ma non si tutela a sufficienza contro gli attacchi informatici.

Al fine di svolgere il proprio incarico al meglio, ogni avvocato è a conoscenza di una rilevantissima quantità di dati sensibili dei propri assistiti, oltre che, naturalmente, dei loro dati giudiziari [2]. Spesso il problema è sottovalutato ritenendo, erroneamente, che l’attività del legale sia prevalentemente cartacea.

Tuttavia ogni studio o azienda, al giorno d’oggi, utilizza il cartaceo sono nella fase finale della propria attività, e cioè nel momento del deposito o notifica di un atto, trascurando che, generalmente, la fase preliminare di raccolta informazioni, studio della controversia e preparazione di bozze avviene in via telematica. È poi frequente che i contatti con i clienti siano tenuti a mezzo mail, chat o messaggistica istantanea.

Ma se allora nessun legale si sognerebbe mai di lasciare incustodito (o di facile accesso ad estranei) il proprio archivio cartaceo, si può dire lo stesso del proprio pc o server del lavoro?

Cosa si può fare per tutelarsi?

Il primo punto da valutare è la prevenzione.

L’Unione Europea si è mossa, per quello che riguarda gli stati membri e le infrastrutture critiche degli stessi, con un piano di sicurezza informatica [3].

Gli obiettivi dichiarati di tale intervento sono quelli di ridurre la criminalità informatica e predisporre risorse e sinergie per una politica di difesa comune efficace.

Anche uno studio legale può prendere spunto da queste indicazioni nella predisposizione delle proprie difese.

Anzitutto serve un po’ di conoscenza. Oggi i virus si presentano sotto molte forme diverse [4], siano essi backdoor, malware o trojan horse, ma, prima ancora che l’abilità dei pirati, a creare danno è spesso l’ingenuità degli utenti.

Serve allora avere sempre un firewall attivo ed un antivirus aggiornato. Ritenere di essere al sicuro perché si naviga solo su siti conosciuti e si scrivono mail solo a persone note può essere un errore che si paga assai caro.

Ciò posto, bisogna anche fare attenzione al fenomeno del phishing e cioè dell’invio di comunicazioni che paiono provenire da un soggetto certo (come la propria banca), ma che, in realtà, sono meri veicoli tramite i quali il proprio sistema può essere attaccato e derubato di dati e valori. Nessuna banca, ente, azienda o simili manda comunicazioni in cui viene richiesto di fornire i propri dati.

Un esame anche veloce dell’indirizzo mail del mittente potrà poi essere utile per controllarne l’autenticità.

Spesso e volentieri, infatti, il mittente risulta essere un nome simile, ma non (ovviamente) quello originale, ad esempio invece di “poste.it” (originale) il mittente potrebbe essere  “poste-italiane.net”

Un antivirus in grado di scansionare anche la mail in arrivo può essere estremamente utile in questa fase.

Una profonda riflessione attiene poi anche alla connessione internet. Wifi e smartphone sono, di per sé, ottimi alleati di qualsiasi professionista, ma se chiunque può facilmente connettersi alla propria rete internet, sorgono enormi problematiche.

Applicazioni facilmente reperibili consento infatti di “bucare” le reti altrui, provando e riprovando in pochi secondi un enorme numero di password precaricate.

Il modo per tutelarsi è semplice. Basta cambiare la password di connessione ad internet (operazione molto semplice ed eseguibile in pochi istanti) e sceglierne una diversa.

Ovviamente, come sopra, sta a ciascun soggetto scegliere una password che non sia immediatamente intuibile (come il proprio nome o data di nascita) e, sul punto, va ribadito un fatto. Più complessa e varia è la password (sempre alfanumerica), maggiori sono le possibilità che il proprio sistema sia e si mantenga sicuro.

Lo stesso ragionamento può essere fatto anche per la password del proprio programma gestionale degli impegni, del programma di gestione economica delle fatture e per la password di accesso alle mail e ai social network. Usare sempre la stessa chiave di accesso per tutti i siti o programmi, ad esempio, agevola di molto il lavoro di un potenziale malvivente.

Vi sono poi anche accorgimenti “fisici”, specie per i soggetti operanti in strutture di maggiore grandezza, ma che possono rivelarsi fondamentali anche per le realtà più ridotte. Ad esempio, dotarsi di un firewall fisico (e non quindi di una semplice applicazione sul computer), scansionare sempre una chiavetta usb prima di utilizzarla (spesso infatti nascondono malware) e controllare scrupolosamente chi può avere accesso ai sistemi informatici.

Il secondo aspetto di intervento si applica invece dopo che “l’effrazione” informatica si è realizzata. Ciascun esperto nel settore sosterrà sempre che non esiste un sistema “sicuro” e che, a causa dell’enorme sviluppo e diffusione delle tecnologie, ciò che appare assolutamente blindato oggi, potrà essere aggirato domani.

Ecco perché è necessario avere pronto anche un piano per le emergenze, in modo da essere preparati anche alla peggiore delle eventualità.

Saper reagire in fretta può davvero fare la differenza e limitare di parecchio i danni e le responsabilità.

Avere una copia di backup aggiornata del proprio database è un ottimo mezzo per poter evitare di dover ricostruire tutto da capo. Ciò comporta fondamentalmente due aspetti. In primo luogo dotarsi di un programma che esegua il backup, preferibilmente su un hard disk esterno, di modo da non tenere insieme i dati e la loro copia di sicurezza.

In secondo luogo, è importante impostare il programma di modo che il backup venga eseguito periodicamente. Avere una copia di backup non aggiornata, infatti, significa avere salvato solo una parte del proprio lavoro, quando sarebbe stato possibile salvarla integralmente.

Se si è stati vittima di attacco le cose da fare immediatamente sono due.

La prima è contattare le forze dell’ordine per denunciare l’accaduto. In particolare, data la competenza e preparazione nel settore, ci si può rivolgere alla Polizia Postale.

In secondo luogo è necessario dare una informazione chiara e completa al proprio cliente. Prescindere da ciò, per la paura di un danno alla propria reputazione può portare a conseguenze sgradite. Del resto ormai anche l’Unione Europea costringerà alcuni soggetti, tramite il piano sopra indicato, a dare informazione repentina di ogni eventuale attacco subito.

Ciò allo scopo di evitare che quello che parte da una piccola “falla” nel sistema di sicurezza non si ingigantisca con rischi di perdita o compromissione di enormi quantità di dati.

di ANDREA PASSANO


note

[[1]] Tecnologia che consente, attraverso internet, l’archiviazione e la manipolazione di dati che risiedono su un server, fornito dal provider.

[2] Classificazioni previste dal Decreto Legislativo numero 196 del 30/06/03.

[3] Liberamente consultabile all’indirizzo http://europa.eu/rapid/press-release_IP-13-94_it.htm

[4] L’UE stima che ogni giorno circolino 150.000 virus informatici e siano infettati 148.000 computer.


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube