Proteggere i dati del green pass: i suggerimenti di Ivanti

Suggerimenti di Ivanti per proteggere i dati del green pass

L’adozione dei passaporti vaccinali si sta diffondendo, ma quanto sono davvero affidabili?

A cura di Nigel Seddon, VP EMEA West di Ivanti

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il passaporto vaccinale è lo strumento adottato in tutto il mondo per viaggiare in sicurezza. L’Italia non fa eccezione, anzi è stata tra i primi Paesi a imporre l’obbligo di green pass per tutta una serie di attività anche sul territorio nazionale. La certificazione verde resta, però, uno strumento ancora problematico in termini di sicurezza e privacy.

Dal 6 agosto scorso è obbligatoria per poter accedere a determinati luoghi pubblici, mentre dal 15 ottobre è indispensabile per accedere ai luoghi di lavoro, pubblici e privati. Si tratta, di fatto, di uno strumento utile e prezioso per favorire la ripresa economica del Paese e la vita quotidiana delle persone. Dimostrando di essere in possesso del certificato di avvenuta vaccinazione, di un tampone molecolare negativo o di essere recentemente guariti dal Covid-19, si possono riprendere normalmente le attività.

Tuttavia, nonostante l’importanza e la diffusione dei passaporti vaccinali, l’utilizzo dei QR code e le differenze tra Paesi in termini di leggi e regolamenti sui dati sensibili possono costituire una fruttuosa opportunità per i criminali informatici e i truffatori.

Preoccupazioni per la privacy

La pandemia è stata il terreno fertile di cui i cybercriminali hanno approfittato, sfruttando le paure causate dal Covid-19, il ricorso massiccio alle consegne online e l’enorme incremento di appuntamenti per la vaccinazione, in modo da sottrarre alle persone i loro dati. Come rilevato dalla Polizia Postale, in Italia nel 2020 i cyberattacchi sono aumentati del 353%, favoriti dalla pandemia. Anche i passaporti vaccinali potrebbero essere presi di mira.

Nello specifico, il green pass, poiché contiene, oltre ai risultati del test Covid-19, anche dati di tracciabilità, informazioni personali e relative alla salute delle persone, rappresenta un enorme problema in termini di privacy. Ogni cittadino, pertanto, dovrebbe consentire solamente al personale di sicurezza autorizzato di scannerizzare il suo codice QR.

Leggi anche:  Fortinet, gli scenari presenti e futuri della cybersecurity

La tutela dei dati personali, compresi quelli sanitari, è affidata a regolamenti specifici, come il GDPR in UE, finalizzati a proteggere i cittadini del Paese in cui essi vengono memorizzati. Tuttavia, tali regolamenti e l’adesione attiva che essi richiedono non sono uniformi in tutti i Paesi, e ciò potrebbe rappresentare una grande opportunità per i cybercriminali.

L’attenzione delle organizzazioni sanitarie, con le relative applicazioni di tracciamento, si è concentrata sul contenimento della pandemia, mettendo quindi la cybersecurity in secondo piano. Il sistema sanitario italiano, infatti, ha subito attacchi informatici massicci a causa di ransomware e accessi abusivi ai dati.

Queste criticità, pertanto, inducono a considerare il forte rischio a cui sono esposti anche i passaporti vaccinali.

Come si possono sfruttare i QR code

Il codice QR contenuto nel green pass permette di controllare velocemente le informazioni, senza la necessità di avere un contatto diretto con altre persone. Si tratta, tuttavia, di un sistema che, per la sua semplicità, è anche facilmente sfruttabile dagli hacker, sempre più abili nell’attaccare gli individui.

I governi e le imprese utilizzano i codici QR per la loro praticità, ad esempio per dati medici, pagamenti mobili, campagne promozionali, ma spesso sono scarsamente consapevoli del fatto che questi codici, quando vengono scannerizzati, possono anche essere veicolo di malware. Senza considerare il fatto che è facile clonarli e quindi, ad esempio, potrebbe accadere che il passaporto vaccinale venga usato da due persone.

Inoltre, i malintenzionati possono creare codici QR per realizzare un’azione dannosa a carico di aziende e locali pubblici in modo da danneggiarli, inserendo facilmente il QR code maligno su menu o check-in d’ingresso.

Un recente sondaggio di Ivanti ha confermato la pericolosità legata all’uso dei codici QR: il 51% degli intervistati, pur conoscendo il rischio associato al loro utilizzo, li impiega ugualmente, mentre ben un terzo del campione ignora i pericoli associati al loro uso e non riconosce la necessità di proteggere i propri dispositivi mobili. I rischi sono aggravati dal fatto che il 49% dei partecipanti al sondaggio non possiede un software di sicurezza mobile.

Leggi anche:  SentinelOne rivoluziona la sicurezza informatica con Purple AI

Come proteggere in modo adeguato le aziende

Poiché la criticità legata all’uso dei codici QR è molto elevata, è necessario tutelarsi in maniera appropriata.

I device mobili, utilizzati sia per le attività personali, sia per il lavoro aziendale, richiedono particolare attenzione da parte delle imprese, che devono dare priorità alla sicurezza mobile dei dipendenti, implementando una strategia di sicurezza Zero Trust, che verifichi ogni risorsa e transazione, prima di permettere di accedere alla rete aziendale.

Per proteggere l’ambiente di lavoro dei dipendenti che operano sul proprio dispositivo, si può utilizzare, insieme alla soluzione MTD (Mobile Threat Defense) che rileva e fronteggia le minacce, il software UEM (Unified Endpoint Management) che separa le applicazioni e i dati aziendali da quelli personali, certificando che le comunicazioni siano crittografate e autorizzate.

Se il passaporto vaccinale, quindi, sembra essere un approccio pratico e conveniente per ripristinare la normalità negli scambi tra Paesi, i QR code, invece, presentano chiaramente un rischio di minaccia dei sistemi informatici e dei dati di un’impresa, sia a livello privato sia aziendale. Codici nocivi, portati dentro l’organizzazione dai device mobili dei dipendenti, possono compromettere i sistemi digitali e i dati di un’azienda. Le soluzioni MTD e UEM garantiscono tranquillità, assicurando che i device mobili, accedendo all’infrastruttura digitale aziendale, siano efficacemente protetti.