Protezione banche dati: le linee guida ACN per la cybersecurity

La protezione delle banche dati è una sfida cruciale nell’ambito della cybersecurity. Le indicazioni fornite dall’Agenzia per la cybersicurezza nazionale per ridurre al minimo i rischi

Nell’ultimo periodo sono stati diversi gli episodi legati a crimini informatici che hanno interessato l’utilizzo improprio delle banche dati, comprese quelle di rilevanza nazionale.

La possibilità di ottenere un accesso non autorizzato a tali banche dati apre a diverse criticità legate soprattutto all’utilizzo delle informazioni contenute nelle stesse.

In risposta alle minacce informatiche l’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato delle linee guida, aggiornate al mese di novembre 2024, con un’analisi dei principali rischi e delle azioni da mettere in campo per ridurli al minimo.

Il documento, che contiene diversi spunti per le imprese di piccole dimensioni, e fornisce indicazioni operative in relazione a diversi aspetti: dal controllo degli accessi privilegiati alla formazione del personale, passando per le attività di monitoraggio e auditing interno e la gestione dei rischi connessi alla supply chain.

In uno scenario in cui i dati e le informazioni assumono sempre maggiore importanza è fondamentale adottare misure che garantiscano la protezione delle banche dati.

Per ridurre al minimo i rischi connessi all’utilizzo non autorizzato delle informazioni, conseguenza di accessi illeciti ai sistemi di conservazione delle informazioni, l’ACN ha pubblicato le “Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”.

Cybersecurity: i principali rischi per le banche dati

Prima di fornire indicazioni utili ai soggetti chiamati a gestire le banche dati, nel documento viene analizzato lo scenario e i principali rischi connessi.

Gli episodi legati a crimini informatici, che hanno interessato anche banche dati di rilevanza nazionale, consistono sia in accessi abusivi sia da parte di insider che di soggetti esterni.

Anche se con tecniche diverse, l’obiettivo degli attacchi informatici è stato quello di ottenere l’accesso alle informazioni contenute nelle banche dati. Nello specifico le azioni sono state accomunate dai seguenti tratti distintivi:

• ottenimento di informazioni tramite presunte attività di corruzione di pubblici ufficiali infedeli;
• installazione di software per il controllo remoto (RAT) e di server utilizzati da persone collegate alle aziende per servizi di manutenzione o simili;
• installazione di software per il controllo remoto (RAT) su postazioni di lavoro aziendali e private con la complicità dei gestori dei sistemi informatici delle aziende clienti.

La buona riuscita delle azioni di penetrazione delle banche dati è stata, nella maggior parte dei casi, facilitata dalla possibilità di accesso a informazioni grazie a permessi assegnati per le specifiche attività lavorative.

In altre parole, gli attacchi informatici sono stati agevolati dalla possibilità di effettuare azioni consentite solo in virtù di specifici permessi. Permessi che consentivano l’accesso a determinate informazioni e che erano assegnati al personale incaricato di mansioni che necessitavano l’utilizzo di specifiche informazioni sensibili per essere svolte.

In sostanza, le “chiavi di accesso” assegnate al personale delle organizzazioni hanno favorito la possibilità di ottenere facilmente informazioni contenute nelle banche dati.

L’utilizzo delle tecniche di compromissione delle infrastrutture informatiche è stato piuttosto limitato. Il movimento all’interno delle reti e dei sistemi attraverso comportamenti ritenuti leciti dai sistemi di protezione (ad esempio i Firewall) ha inoltre permesso di superare il rilevamento di tali minacce. Gli episodi hanno infine mostrato che i sistemi di alerting e rilevamento di comportamenti o accessi impropri si sono rivelati poco efficaci.

Gli strumenti di protezione non sempre sono sufficienti per proteggere da intrusioni e, in ogni caso, non riescono a garantire una copertura completa dei rischi. Per questo è necessario dotarsi di strumenti più avanzati rispetto ai Firewall.

Tra questi strumenti si può utilizzare TeamSystem Cybersecurity, che fornisce una protezione più efficace rispetto agli strumenti tradizionali, che spesso non rilevano vulnerabilità o possibili nuove modalità di accesso dei criminali informatici.

I vantaggi di tale strumento sono il monitoraggio continuo, che permette di prevenire le criticità, una protezione scalabile e semplicità dell’uso (che garantisce l’efficacia anche per le piccole imprese e per le PMI, che talvolta non hanno personale con competenze tecniche specifiche in tema di cybersicurezza).

Quali sono quindi i principali fattori di rischio che portano all’utilizzo improprio delle informazioni presenti nelle banche dati? Nel documento pubblicato dall’ACN sono sintetizzati nei seguenti punti:

• eccessiva “ampiezza” dei permessi consentiti agli utenti abilitati all’accesso alle informazioni;
• utilizzo di banche dati realizzate anteriormente alla diffusione dei principi di security by design, privacy by design, zero trust;
• limitata governance del ciclo di vita dei sistemi e delle applicazioni utilizzate in particolare per la gestione di informazioni sensibili;
• limitata gestione dei processi di sicurezza nella gestione della supply chain;
• ridotta capacità di monitoraggio e auditing di comportamenti impropri da parte di dipendenti infedeli a livello preventivo;
• limitata disponibilità di personale adeguatamente formato nelle attività di verifica e identificazione di azioni improprie di questa tipologia.

In risposta a tali criticità, le linee guida dell’ACN forniscono precise indicazioni che possono interessare anche le aziende di piccole dimensioni e che saranno richiamate successivamente. Tali azioni dovranno essere adottate tenendo conto del livello di rischio a cui le banche dati dei soggetti sono esposte.

In questa parte sono stati riepilogati lo scenario e i principali rischi connessi all’utilizzo improprio delle informazioni presenti nelle banche dati. Nei successivi paragrafi verranno analizzate le principali indicazioni per prendere delle contromisure alle minacce informatiche.

Cybersecurity, le indicazioni dell’ACN nel concreto: cosa fare? Dal controllo degli accessi alla formazione del personale

Uno degli aspetti su cui si concentrano le linee guida fornite dall’Agenzia per la cybersicurezza nazionale riguarda il controllo degli accessi.

Tale controllo rappresenta infatti la “porta di ingresso” alle informazioni contenute nelle banche dati. Gli accessi devono essere ristretti al personale e agli utenti autorizzati in virtù del proprio ruolo.

Le identità digitali devono essere nominative e individuali, quindi non condivise tra più persone. Per le “identità di sistema” è necessario garantire una gestione sicura che limiti il rischio di utilizzo diretto da parte del personale dell’amministrazione.

In ogni caso è necessario prevedere privilegi e autorizzazioni di accesso minimi, con verifiche e aggiornamenti periodici. Una particolare attenzione deve essere prestata all’aggiornamento tempestivo al personale che ha cessato i propri incarichi.

Inoltre, per gli accessi ai sistemi e alle banche dati, è opportuno predisporre modalità di autenticazione multifattore.

Per autenticazione multifattore o MFA (Multi-Factor Authentication) si intende un metodo di verifica dell’identità che richiede agli utenti di utilizzare almeno un fattore di autentificazione aggiuntivo rispetto alla password o due fattori di autentificazione al posto della password stessa, per poter effettuare accessi o particolari azioni.

Tale modalità di autenticazione utilizza specifiche tecnologie di sicurezza che possono comprendere password, PIN, smart card o notifiche push. In altre parole, vengono richieste informazioni che permettano di identificare univocamente l’identità dell’utente.

L’autenticazione multifattore è diventata sempre più una componente essenziale delle strategie di gestione di identità e accessi di molte organizzazioni. Tra gli strumenti più comuni per utilizzare un’autenticazione multifattore ci sono gli smartphone e l’email.

Un’ulteriore raccomandazione di cui tenere conto è la possibilità di prevedere una gestione centralizzata del controllo degli accessi.

Il controllo degli accessi è la procedura di sicurezza che permette di gestire le autorizzazioni ai dati e alle risorse aziendali. Tale procedura è basata su policy che permettono di verificare l’identità degli utenti e l’assegnazione di accessi specifici alle informazioni delle banche dati.

La gestione può essere centralizzata, ossia messa in atto tramite un’unica interfaccia amministrativa che permetta l’assegnazione o la rimozione degli accessi che vengono assegnati. Generalmente tale sistema, oltre a dare la possibilità di rivedere e riassegnare i privilegi di accesso dei diversi utenti, permette di produrre report utili al monitoraggio.

Senza un’efficace amministrazione e procedure di controllo dei privilegi di accesso, i sistemi di gestione delle banche dati diventano molto difficili da gestire e quindi più esposti a cyber attacchi.

Un altro aspetto particolarmente rilevante in tema di cybersecurity è la formazione del personale.

Al quarto posto delle tecniche di attacco più utilizzate nel 2024, stando ai dati presenti nel rapporto Clusit 2025 dell’Associazione Italiana per la Sicurezza informatica, gli attacchi messi a punto con phishing e social engineering hanno raggiunto l’11%. Nel report viene evidenziata l’importanza del fattore umano, che resta la possibilità di accesso più facile.

La componente legata alla competenza del personale sui temi relativi alla cybersecurity e la conoscenza sui rischi connessi alla sicurezza informatica è quindi fondamentale in ottica di prevenzione.

Sono quindi opportune azioni di sensibilizzazione che si affianchino a pratiche da adottare sul luogo di lavoro, prevedendo corsi di formazione non solo per gli utenti con privilegi ma per tutto il personale. Tali corsi devono essere svolti predisponendo un registro che indichi i contenuti della formazione e stabilendo modalità di verifica per l’acquisizione dei contenuti stessi. Tra i temi da affrontare ci sono anche le modalità per sviluppo, mantenimento e protezione delle banche dati e le azioni per garantire la riservatezza delle informazioni e la non divulgazione delle stesse.

Di particolare importanza sono anche i processi e gli strumenti per il monitoraggio. Oggetto delle verifiche devono essere tutti i flussi informativi tra il soggetto e i destinatari.

I cyber criminali agiscono con rapidità e cambiano repentinamente le tecniche utilizzate e le modalità di attacco. Gli asset digitali che garantiscono sicurezza per l’azienda in un determinato periodo di tempo possono diventare rapidamente misure obsolete.

I controlli previsti una tantum lasciano quindi il tempo che trovano. È necessario prevedere un sistema in continuo aggiornamento delle misure legate alla cybersecurity. Per un monitoraggio proattivo e costante dei rischi legati alla sicurezza informatica è necessario utilizzare soluzioni specifiche.

Tra queste, Teamsystem Cybersecurity, che permette di monitorare con facilità gli account email, i siti web, le password e i dati sensibili dell’impresa.

Tali flussi devono essere identificati in relazione a: sorgente del flusso, destinatario del flusso, protocolli e servizi di rete abilitati sul flusso, nominativo responsabile gestione, nominativo responsabile per l’autorizzazione alla comunicazione, esito e data del processo di autorizzazione. Le misure da adottare devono in ogni caso essere predisposte sulla base dei rischi relativi alle banche dati prese in considerazione.

Un monitoraggio efficace prevede l’adozione di specifiche politiche di sicurezza, che devono essere documentate, conservate e aggiornate.

Attraverso Teamsystem Cybersecurity è possibile, per esempio, verificare se gli indirizzi di posta elettronica sono state violati o esposte sul dark web.

Possono inoltre essere analizzati in modo approfondito i domini e i server aziendali, identificando in anticipo eventuali criticità nella sicurezza informatica.

Il monitoraggio può interessare anche i server DNS, FTP, AS, e-commerce e altri asset critici. Anche in questo caso un monitoraggio preventivo e costante permette l’individuazione di eventuali punti deboli che potrebbero essere utilizzati per un attacco informatico.

Tra le indicazioni fornite dall’ACN c’è l’adozione di strumenti per la sicurezza e il monitoraggio dei dispositivi di accesso ai sistemi, così da mitigare il rischio di furto di sessioni presso i sistemi e le banche dati in uso.

Cybersecurity: le indicazioni dell’ACN sulla gestione del ciclo di vita delle applicazioni

Le linee guida fornite dall’ACN si soffermano anche sulla gestione del ciclo di vita dei sistemi e delle applicazioni. I rischi legati alla sicurezza delle banche dati devono essere infatti valutati sull’intero ciclo di vita dei sistemi.

Devono infatti essere prese in considerazione anche la manutenzione e la riparazione dei sistemi e delle applicazioni, da eseguire con strumenti controllati e autorizzati.

In tali fasi devono essere seguite specifiche politiche di sicurezza e deve essere predisposto un registro aggiornato con le operazioni effettuate. Le politiche adottate devono preventivamente essere approvate dai vertici delle organizzazioni.

Le procedure messe in campo devono inoltre essere verificate periodicamente con appositi “test di penetrazione dei sistemi”, a complemento alle attività di gestione delle vulnerabilità e verifica dei controlli di sicurezza.

Una delle criticità, già messa in evidenza, che ha permesso la buona riuscita di attacchi informatici è l’utilizzo di applicazioni o software non aggiornati alle ultime misure legate alla sicurezza informatica.

Nel rapporto Clusit 2025, l’Associazione Italiana per la Sicurezza informatica traccia una panoramica degli incidenti di sicurezza più significativi avvenuti nel 2024.

Gli attacchi basati su vulnerabilità zero-day o note sono aumentati e hanno inciso per il 15% del totale, a dimostrazione di una gestione ancora inefficace della sicurezza delle infrastrutture IT.

Stando ai dati forniti nello stesso rapporto, le microimprese risultano essere le più vulnerabili, con il 40% delle imprese sotto i 5 dipendenti colpite da attacchi informatici e il 23% tra 5 e 10 dipendenti.

Il 37,8% delle PMI dichiara di aver subito attacchi informatici, confermando che oltre un terzo delle imprese è stato vittima di cyber attacchi.

I dati mettono in evidenza l’importanza del lavoro di sensibilizzazione necessario e dell’aggiornamento di sistemi e software per evitare i maggiori rischi legati alle minacce informatiche.

La sicurezza dei sistemi informatici e delle applicazioni deve essere rispondere ai seguenti principi:

• security by design, ovvero dalla progettazione;
• security by default, ossia per impostazione predefinita;
• zero-trust security, cioè l’assunzione che nessuna connessione può essere considerata attendibile prima di un’apposita verifica.

Nel documento diffuso dall’Agenzia per la cybersicurezza nazionale sono fornite specifiche indicazioni in merito alle cosiddette “pipeline di sviluppo”, specifiche per chi si occupa dello sviluppo sicuro dei sistemi e delle applicazioni.

Infine vengono fornite indicazioni sulla gestione dei rischi legati alla sicurezza della catena di approvvigionamento. L’azienda, o il soggetto che gestisce le proprie banche dati, deve tenere in considerazione anche le vulnerabilità di fornitori e terze parti.

Una delle nuove tecniche utilizzate dai cybercriminali è proprio quella di sfruttare le vulnerabilità dei fornitori per compromettere la rete aziendale, attaccare determinate organizzazioni e utilizzare impropriamente le informazioni presenti nelle relative banche dati. Tanto più è estesa la rete di fornitori, tanto più facile è sfruttare le specifiche vulnerabilità. Inoltre vengono presi di mira i sistemi interconnessi per colpire simultaneamente più organizzazioni.

A riguardo anche la Direttiva NIS 2, n. 2022/2555/UE (recepita nell’ordinamento italiano dal decreto legislativo n. 138/2024), ha posto particolare attenzione alla sicurezza della catena di approvvigionamento. La protezione della supply chain parte dal concetto che fornitori e manutentori devono essere messi in sicurezza per evitare che il singolo anello debole metta a rischio l’intero sistema. L’Agenzia per la Cybersicurezza Nazionale sta lavorando a misure flessibili basate sull’analisi del rischio, così da difendersi da attacchi sempre più sofisticati.

È quindi necessario integrare nel proprio processo di gestione anche tali rischi, valutando quelli connessi a ciascun fornitore.

Anche per questo aspetto si devono adottare i principi generalmente previsti per ridurre al minimo i rischi connessi alle minacce informatiche:

• registrare e monitorare le attività dei fornitori e delle terze parti sui sistemi e sulle banche dati dell’organizzazione;
• permettere l’accesso “minimo” ai dati, prevedendo specifici accordi di riservatezza;
• revocare gli accessi al termine di una fornitura;
• adottare procedure per la verifica dell’affidabilità del personale.

Le misure indicate nelle linee guida dell’ACN rappresentano utili consigli per implementare i sistemi di cybersicurezza nell’ottica di ridurre al minimo i rischi connessi all’utilizzo improprio delle banche dati. Il sistema, nel suo complesso, non può prescindere dalla compliance normativa e deve essere calibrato sulla base dei rischi a cui sono esposte le imprese o gli altri soggetti in questione.