Magazine

La PEC è sicura, ecco perché.

18/02/2021
La PEC è sicura, ecco perché.
PMIPrivatiProfessionistiPubblica Amministrazione
In tempi in cui il termine sicurezza ha allargato moltissimo i suoi confini, andando ad abbracciare quello più immateriale legato ai dati digitali, farsi domande sulla sicurezza dei mezzi che usiamo quotidianamente per comunicare è d’obbligo.

E lo è tanto più se al centro dell’attenzione ci sono comunicazioni “delicate”, per le caratteristiche dei contenuti veicolati, come quelli della PEC.

Tra virus, malware, episodi di phishing, solo per citare i più conosciuti, come possiamo affermare che la PEC è un mezzo di comunicazione sicuro?

Mai come in questo caso il motto “l’unione fa la forza” è stato così calzante.

Se è vero infatti che Aruba PEC si impegna quotidianamente ad arricchire i propri servizi e a migliorare ulteriormente la loro qualità, anche dal punto di vista dell’affidabilità, a garantire estrema sicurezza alla PEC sono anche la cooperazione tra gestori e il fondamentale ruolo di indirizzo svolto da AgID.

Aruba PEC e i gestori accreditati

Iniziamo la nostra analisi sulla sicurezza facendo un breve ripasso del meccanismo che caratterizza la trasmissione delle informazioni tramite PEC, mettendo in primo piano le figure interessate in questo processo.

Se l’invio di un messaggio PEC può essere assimilato all’invio di una normale email, è l’ecosistema alle spalle di questa azione che ne determina la validità legale. L’invio e la ricezione del messaggio, infatti, avvengono grazie a infrastrutture specifiche e sono garantiti da soggetti scelti appositamente per fornire il servizio sulla base di criteri rigorosi.

Il primo fattore a garanzia della sicurezza della PEC, infatti, deriva proprio dal fatto che solamente gestori accreditati presso AgID (Agenzia per l’Italia Digitale) possono fornire il servizio.

Questo viene così affidato solamente a chi può dimostrare di avere un sistema in grado di assicurare il processo di invio definito nei minimi particolari dalla normativa e caratterizzato dall’emissione automatica di notifiche che attestano data e ora di invio e ricezione (o di fallimento nelle operazioni), tali da rendere la PEC una modalità di comunicazione legalmente valida.

I gestori accreditati, a loro volta, sono sottoposti a un attento controllo da parte di AgID, organo governativo il cui scopo principale è proprio quello di stabilire i requisiti di sicurezza PEC e di controllare che questi siano rispettati.

Naturalmente ogni gestore, nei limiti stabiliti da AgiD, può agire in modo autonomo, aggiungendo ai requisiti di sicurezza minimi interventi o controlli volti ad accrescere l’affidabilità del servizio.

La sicurezza secondo Aruba PEC: requisiti AgID e caratteristiche del fornitore.

Anche Aruba PEC, in qualità di gestore accreditato, si impegna costantemente in attività di ottimizzazione della PEC per renderla uno dei mezzi più sicuri e pratici per la gestione e l’invio di informazioni.

Tra i più recenti interventi di sicurezza e le caratteristiche che distinguono la PEC di Aruba, ad esempio, ricordiamo:

Sistemi antivirus e antispam multipli e gestione delle vulnerabilità: rappresentano le barriere più comuni verso i potenziali attacchi, ma nel caso della PEC vengono “arricchiti” per potenziarne l’efficacia. Nel caso della PEC infatti, i controlli su virus e spam sono multipli ed eseguiti con più filtri, ciascuno dei quali implementa sistemi di scansione diversi. Oltre ai “tradizionali” controlli antivirus e antispam, Aruba PEC applica ulteriori livelli di monitoraggio volti a rilevare eventuali anomalie nelle modalità di accesso e utilizzo del servizio, url sospette, nonché eventuali email di phishing che potrebbero veicolare codice malevolo. Non solo: i controlli automatici sono volti anche a indagare e correggere automaticamente eventuali vulnerabilità sia sulle applicazioni sia sulla struttura stessa che sta alla base del servizio PEC, mantenendo così alti i livelli di affidabilità del servizio.

Limitazione delle estensioni sicure su PEC: AgID ha recentemente stilato una lista di estensioni di file da non ritenere sicure  e quindi non veicolabili tramite PEC. Aruba PEC ha quindi adeguato i propri sistemi impostando i necessari controlli di sicurezza per verificare che file con estensioni presenti nella lista di AgID non possano essere allegati ad un messaggio PEC.

In particolare, in caso si tenti di inviare uno di questi file sospetti attraverso Webmail o app mobile, entrambe fornite gratuitamente con il servizio, il controllo è immediato impedendo il caricamento del file. Ma i sistemi di Aruba PEC rilevano la presenza di eventuali allegati con estensioni sospette anche quando questi transitano tramite client che utilizzano protocolli di posta (SMTP) come Outlook o Thunderbird: in questi casi l’invio viene bloccato e gli attori della comunicazione puntualmente avvisati tramite ricevute di mancata accettazione che informano sull’esito degli invii.

Robustezza password: spesso sottovalutata, la password è la prima forma di protezione da accessi indesiderati ai propri sistemi, soprattutto se questi hanno a che fare con comunicazioni contenenti informazioni delicate. Su Aruba sono stati recentemente rivisti i requisiti di robustezza per la creazione di nuove password, in modo da guidare il cliente nella scelta di password sicure.

Nel momento in cui la password viene scelta, inoltre, a questa viene applicato un meccanismo di hashing, una forma particolare di crittografia, prima ancora che la password venga registrata sui sistemi che, richiamandola, permettono l’accesso alla casella.

In tal modo, il dato password non sarà mai visibile né conosciuto nemmeno al fornitore stesso del servizio. Aruba, d’altronde, tratta tutti i dati dei clienti secondo le modalità stabilite dalla più recente normativa europea, conosciuta anche come GDPR, aggiungendovi le disposizioni integrative italiane e rispettando i requisiti dettati dal Garante della Privacy.

Protocollo sicuro TLS 1.2: la trasmissione delle informazioni su PEC avviene tramite il protocollo di comunicazione sicuro TLS 1.2. Questo implica non solo garanzia di inalterabilità dei contenuti nel processo di invio e ricezione dei messaggi, ma, essendo tale protocollo compatibile solo con software e sistemi aggiornati, ha incentivato uno svecchiamento rapido e massivo di dispositivi e sistemi in uso, aumentando il livello dell’efficacia della protezione. Del protocollo sicuro TLS 1.2 e delle sue implicazioni proprio per la sicurezza, abbiamo parlato ampiamente anche in questo articolo dedicato.

Ma l’impegno di Aruba PEC nella salvaguardia della sicurezza dei propri servizi non si esaurisce certo qui. Lo sviluppo e l’arricchimento del servizio PEC è infatti continuo. Già da alcuni mesi, infatti, è attivo anche il cosiddetto “monitoraggio dell’esposizione delle caselle ai data breaches”: in pratica, attraverso collaborazioni con i servizi internazionali che registrano le violazioni (i data breach, appunto) subiti dai vari siti e piattaforme web, è possibile verificare se tali data breach riguardano anche caselle PEC di Aruba. In tali casi, Aruba PEC procede al reset automatico della password di accesso alla casella, così da scongiurare eventuali accessi indesiderati.

E ultimo, ma non meno importante fattore, l’attenzione verso i temi di sicurezza, soprattutto in ambito PEC viene costantemente stimolato anche all’interno della nostra organizzazione tramite formazione e aggiornamento del personale adibito alla gestione del sistema, che quindi viene sensibilizzato e debitamente istruito per riconosce e fronteggiare eventuali problemi di sicurezza.

Molte novità sono previste anche per il futuro: Aruba PEC sta infatti lavorando a una serie di progetti il cui scopo è proprio quello di aumentare e migliorare ulteriormente gli standard di sicurezza dei propri servizi e della PEC in particolare.

I Data Center Aruba: sicurezza anche dal punto di vista infrastrutturale

Naturalmente, un sistema così complesso ha anche bisogno della migliore infrastruttura che garantisca massima sicurezza e resilienza e che soprattutto assicuri la continuità dei servizi.

Ne sono un esempio i Data Center Aruba, dotati dei più elevati standard di qualità per garantire la massima sicurezza dei dati e la continuità dei servizi.

I Data Center Aruba sono certificati secondo la normativa ANSI/TIA 942-B-2017 alla quale si aggiungono:
  • sistemi di monitoraggio costante 24 ore su 24 per 365 giorni all’anno
  • sistemi in grado di garantire la continuità dell’erogazione ma soprattutto la ridondanza del dato, così da avere il massimo della tranquillità.

La cooperazione tra gestori e AgID

Come dicevamo all’inizio dell’articolo, tuttavia, al di là delle caratteristiche specifiche di ogni singolo gestore e delle iniziative che ognuno mette in atto in modo spontaneo per la protezione dei propri sistemi, la PEC può contare anche su una particolarissima e molto efficace forma di “coopetition”, per utilizzare il termine con cui è stato recentemente definito l’atteggiamento collaborativo dei gestori.

Questo è senz’altro un aspetto della sicurezza da non trascurare.

La rete dei gestori selezionata da AgID, infatti, seppur formata da aziende singole e con caratteristiche specifiche, è unita in uno stretto rapporto di collaborazione e scambio di informazioni, il tutto gestito e regolato da AgID, che fa da collettore tra tutti.

Viene così a crearsi una forma sì competitiva, in cui quindi ognuno cerca di migliorare e rendere più efficiente il servizio con iniziative personali, ma anche cooperativa e collaborativa.

AgID e i gestori, infatti, operano ormai utilizzando un approccio di community basato su piattaforme di interoperabilità, che consentono ai gestori di operare basandosi su scelte comuni e di agire in modo sincrono nella difesa delle minacce.

Ne sono esempi concreti le piattaforme MISP (Malware Information Sharing Platform) alla realizzazione delle quali hanno collaborato, oltre a CERT-PA (diventato CERT-AgID nel 2020), anche il Computer Incident Response Center del Lussemburgo (CIRCL), considerato la struttura europea di ICT security più esperta proprio nello sviluppo di tali piattaforme e che hanno permesso di dar vita a uno dei database dei malware più importanti.

Grazie a tali piattaforme, infatti, viene favorito lo scambio automatico di informazioni machine to machine basato su standard tecnici e linguaggi comuni che ne favoriscano la condivisione.

Tutto ciò ha permesso ad AgID e ai vari gestori di realizzare un sistema comune e immediato di trasmissione degli indicatori di compromissione (IOC) della PEC, grazie al quale è stato possibile, ad esempio, definire una lista di allegati pericolosi caratterizzati da estensioni nuove oppure moltiplicare le piattaforme antivirus e adattarle alle nuove minacce.

In definitiva questo tipo di approccio, consente di creare un fronte comune a difesa della PEC che non fa che rafforzarne l’efficacia.

E gli utenti? Hanno un ruolo nel mantenimento della sicurezza?

Certamente sì ed è per questo che Aruba dedica tanta attenzione alla formazione e all’informazione dei propri clienti sui rischi derivanti da una scarsa sicurezza, promuovendo e diffondendo la conoscenza di buone norme per prendersi cura dei propri dispositivi, strumenti e servizi.

Nella nostra pagina dedicata, quindi, abbiamo riepilogato tutta una serie di norme e comportamenti che ciascuno di noi dovrebbe sempre tenere presenti, a cominciare dalla cura delle password di accesso ai servizi, l’attenzione e il riconoscimento di email fraudolente, la protezione da malware e virus che potrebbero contribuire a minare la sicurezza dei nostri sistemi informatici.