La Digital Forensics e le procedure per la raccolta delle prove digitali non è comunemente considerata una parte importante nell’ambito dell’Information Assurance e della gestione della sicurezza delle informazioni, ma gli scenari attuali e le tendenze impongono invece ai responsabili di incorporarla nelle loro procedure di gestione.
Oramai le organizzazioni, di qualsiasi tipo esse siano, dovrebbero approcciarsi alla sicurezza delle informazioni dando per scontato che saranno prima o poi vittime di un attacco, sia esso provenienente dall’esterno o dall’interno del perimetro dell’organizzazione. Non è più una questione di “se” ma di “quando”, e questo vale per ogni tipo di organizzazioni: imprese, pubbliche amministrazioni, ONG…
L’inevitabilità di un attacco o comunque di un “incident” deve ormai essere considerata la premessa di ogni processo di pianificazione, sviluppo e implementazione delle politiche per la sicurezza delle informazioni: questo implica lo sviluppo di procedure e protocolli per poter reagire in tempi brevi ad attacchi interni o esterni (gli incidenti di sicurezza provenienti da insider costituiscono storicamente la maggioranza).
Le attività di Digital Forensics saranno quindi condotte ed integrate con le altre area dell’IA che si occupano di rispondere e reagire ad un attacco o comunque ad un incident, in particolare quindi:
- Business continuity
- Disaster recovery
- Incident response
Anche la pianificazione di tali andrebbe quindi condotta in questo contesto: anche gli standard ISO sulla gestione della sicurezza (ISO/IEC 27001 e 27002) prevedono uno specifico controllo che prevede la pianificazione e l’implementazione di procedure per la raccolta delle prove informatiche (A.13.2.3).
Ovviamente, dopo un incidente o un attacco è prioritario ripristinare la funzionalità del sistema in modo da assicurare la Business Continuity rispetto alla raccolta delle prove, per questo è assolutamente necessario che i protocolli per le attività di Digital Forensics siano sviluppati e pronti per l’implementazione prima dell’attacco, in modo da poter essere applicati nelle prime fasi dell‘Incident Response. Senza evidenze raccolte secondo precisi protocolli forensi diventa molto difficile sostenere le proprie ragioni in un eventuale processo, civile o penale.
Ripetiamo quindi che la collocazione dei protocolli per la digital forensics dovrebbe essere tra le procedure di Incident Response, sia in fase di pianificazione che di implementazione. Gli standard internazionali come la ISO 27001 concordano. Si dovranno sviluppare protocolli per:
- Individuazione e raccolta delle evidenze
- Acquisizione
- Analisi
- Interpretazione
- Reportistica
- Gestione e conservazione
La raccolta e l’acquisizione è da un certo punto di vista facilitata in questo ambito, in quanto sistemi e tecnologie sono conosciuti con precisione già in fase di pianificazione, quindi adeguate configurazioni (ad esempio della produzione di log) e precisi protocolli di acquisizione possono essere pianificati nei dettagli. Ciò nonostante nello scenario attuale sono presenti alcune tendenze tecnologiche e “sociali” che possono complicare le cose, in generale nella gestione della sicurezza e anche nella pianificazione delle attività di DF. Ad esempio l’utilizzo di dispositivi personali per lavoro (BYOD, “bring your own device”), la diffusione delle tecnologie cloud e l’esplosione delle dimensioni dei dati disponibili. Il perimetro dell’organizzazione diventa sfumato e le implicazioni, anche legali, rendono complesso pianificare le attività.
L’analisi e l’interpretazione delle evidenze dovrebbe comportare, almeno nelle fasi finali, l’apporto anche di consulenti legali.
Una nota finale sul concetto di eDiscovery, una definizione usata soprattutto negli Stati Uniti, che sembra sovrapporsi al concetto di Digital Forensics. L’eDiscovery si riferisce soprattutto -nel contesto USA- alle cause civili in cui le informazioni in forma elettronica (ESI, “Electronically stored information”) devono essere consegnate -se le si intende usare in cause- alla controparte. Una nuova serie di standard internazionali, in sviluppo, fornirà le linee guida per tutte le attività sia di DF che di eDiscovery; si aggiungeranno alla ISO/IEC 27037, pubblicata recentemente, che copre comunque le prime fasi critiche della Digital Forensics (Raccolta, Acquisizione, Conservazione).
Promozione: per integrare le procedure di Digital Forensics nella gestione della sicurezza serve un insieme di competenze trasversali in campo forense, di gestione e di sicurezza delle informazioni. StudioAG (www.studioag.eu) può intervenire anche in questo campo. Visitate il sito oppure scrivete all’indirizzo studio [at] studioag [dot] eu)
