phion commenta i risultati della ricerca di Fraunhofer sulle carenze in materia di sicurezza nelle piattaforme di social networking.
Le Web Community devono migliorare gli standard di sicurezza
Milano, 13 ottobre 2008. Maurizio Taglioretti, country manager di phion Italia, commenta i risultati dell'indagine sulla Protezione della privacy nelle piattaforme di social networking condotta dal Fraunhofer Institute(intitolata Privatsphärenschutz in Soziale-Netzwerke-Plattformen). La ricerca ha analizzato le caratteristiche di sicurezza di sette web community particolarmente note nelle nazioni di lingua tedesca. Tali risultati, che possono essere validi anche in altri Paesi, evidenziano alcune carenze considerevoli.
I risultati della ricerca condotta dal Fraunhofer-Institute mostrano chiaramente che una carenza nella compilazione dei codici e spesso un'insufficiente autenticazione degli utenti nelle piattaforme di social networking rendono possibile spiare i dati riservati degli utenti, aprendo le porte ad attività criminali sferrate con le identità degli utenti e utilizzando i loro dati riservati.
Milano, 13 ottobre 2008. Maurizio Taglioretti, country manager di phion Italia, commenta i risultati dell'indagine sulla Protezione della privacy nelle piattaforme di social networking condotta dal Fraunhofer Institute(intitolata Privatsphärenschutz in Soziale-Netzwerke-Plattformen). La ricerca ha analizzato le caratteristiche di sicurezza di sette web community particolarmente note nelle nazioni di lingua tedesca. Tali risultati, che possono essere validi anche in altri Paesi, evidenziano alcune carenze considerevoli.
I risultati della ricerca condotta dal Fraunhofer-Institute mostrano chiaramente che una carenza nella compilazione dei codici e spesso un'insufficiente autenticazione degli utenti nelle piattaforme di social networking rendono possibile spiare i dati riservati degli utenti, aprendo le porte ad attività criminali sferrate con le identità degli utenti e utilizzando i loro dati riservati.
I membri delle community si espongono in modo diretto a pericoli di cui il più delle volte sono ignari. Mentre sulla stampa leggiamo spesso report relativi all'e-banking, al furto e utilizzo improprio dei dati, e le indicazioni e normative cui essere conformi per il trattamento di tali dati prevedono un livello di sicurezza davvero elevato, lo stesso non si applica alle varie piattaforme di social networking. Ne consegue nella maggior parte dei casi, un trattamento disattento dei dati sensibili. Anche se i portali delle community sono generalmente progettati come piattaforme aperte, allo stesso tempo si tratta di data center in cui vengono salvate informazioni riservate. E nel complesso rappresentano un bersaglio goloso per gli attacker. Il trattamento sicuro dei dati confidenziali dovrebbe pertanto essere reso obbligatorio per chi gestisce le piattaforme di social networking.
Si tratta di qualcosa su cui bisogna intervenire non solo per quanto riguarda i portali utilizzati per le community tra privati, ma che va tenuto in maggiore considerazione per le piattaforme utilizzate in ambito professionale. In molte aziende, infatti, gli impiegati le stanno utilizzando sempre più di frequente ad integrazione dei propri sistemi di CRM come strumenti di dialogo diretto con i propri clienti, partner e altri referenti strategici. Ne consegue che dati critici per il business come le informazioni importanti per le vendite, non hanno una protezione adeguata. E in tal modo vengono annullati tutti i precedenti sforzi intrapresi dalle aziende per proteggersi dall'accesso non autorizzato ai propri dati.
Finché i sistemi dei provider, su cui girano le piattaforme di social networking, non raggiungeranno gli stessi standard di sicurezza delle piattaforme di e-banking per esempio, continueranno ad essere una palestra per gli attacker in cui appropriarsi dei dati per utilizzarli con intenti criminali. D'altra parte i gestori delle community non si devono preoccupare della responsabilità, nel caso in cui si verifichi un abuso. Nei casi più gravi è responsabile chi ha postato le informazioni critiche di terze parti sul portale in questione.
phion raccomanda quindi alle aziende di formulare delle linee guida chiare che vietino ai dipendenti di comunicare informazioni che hanno a che fare con l'azienda attraverso siti di social networking. phion consiglia anche ai singoli individui di considerare con grande attenzione quali informazioni devono essere rese pubbliche quando utilizzano le community web. Dal momento in cui anche le informazioni apparentemente più innocue possono essere compilate per formare un profilo molto convincente e rivelarsi un bersaglio potenzialmente interessante per attività criminali. Attività che possono spaziare dall'invio di spam ad azioni di social engineering ben orchestrate, in cui gli attacker sfruttano tali informazioni a proprio vantaggio.
phion suggerisce anche ai fornitori che gestiscono tali piattaforme di social networking di impegnarsi per migliorare i propri standard di sicurezza. Una guida utile per questo si trova nei prerequisiti del Payment Card Industry Data Security Standard (PCI DSS). Tali standard che sono stati formulati per il mercato delle carte di credito definiscono le misure da adottare per aumentare la sicurezza delle applicazioni web. Secondo noi non devono essere limitate ai soli settori delle banche e delle carte di credito, ma a tutti coloro che trattano dati sensibili in ambienti web 2.0.
- Jacopo P. -