Mentre i team IT aziendali sono concentrati sulla nuova ondata di minacce alla sicurezza dei dati, tra le quali WannaCry, c’è un problema ancora più grave a cui nessuno sta pensando. Si tratta delle regole su computer portatili, tablet e smartphone nei voli aerei. Il nuovo rischio di esposizione dei dati si manifesta in due forme: una è il divieto di imbarco dei computer portatili, l’altra è la politica di estrazione di dati dagli smartphone.

Il divieto sui computer portatili

Lo scorso marzo il Dipartimento di Sicurezza Nazionale (DHS, Department of Homeland Security) degli Stati Uniti ha istituito il divieto di imbarco di PC portatili come bagaglio a mano su voli diretti negli Usa provenienti da dieci aeroporti di Arabia Saudita, Dubai, Egitto, Emirati Arabi, Giordania, Kuwait, Marocco, Qatar. Il Regno Unito ha applicato un divieto simile, ma più limitato.

All’inizio di maggio rappresentanti statunitensi si sono incontrati con i loro omologhi europei per valutare l’estensione del divieto ai voli in partenza dall’Europa. Alla base di questi incontri ci sono i sospetti sul fatto che l’ISIS stia costruendo bombe che possono essere inserite nei computer portatili ed eludere i controlli di sicurezza degli aeroporti.

I danni prodotti dall’esplosione di una bomba nella cabina di un aereo sono considerati molto più gravi di quelli prodotti nella stiva dei bagagli. Se le bombe per computer portatili sono progettate per essere detonate manualmente, possono essere prodotte in massa e costruite in modo da evadere più facilmente i controlli di sicurezza. Le bombe progettate per la detonazione da remoto sono più difficili da costruire e più facili da rilevare ai raggi X, perché necessitano di timer e altri componenti per la detonazione a distanza.

Il divieto attuale riguarda solo alcuni aeroporti. E chi viaggia per lavoro può ancora portare con sé il proprio computer. Ma i rischi per l’esposizione dei dati associati ai futuri divieti sono molto alti.

Con un divieto più esteso, i viaggiatori potrebbero avere ancora la possibilità di imbarcare computer portatili e tablet come bagaglio da stiva (come avviene attualmente). Ma il fatto che i bagagli contengano, potenzialmente, dispositivi di un certo valore può generare una nuova industria criminale.

Oltre a questo, c’è il problema delle batterie agli ioni di litio: gli incendi accidentali da esse causati sono statisticamente più probabili se c’è un’alta concentrazione di dispositivi elettronici. Se i dispositivi personali si trovano in cabina, in caso di incendio il personale di bordo può intervenire immediatamente con gli estintori. Ma se si trovano nella stiva un eventuale incendio può sfuggire al controllo e creare una situazione pericolosa.

Per questo motivo i passeggeri di linee aeree statunitensi sono tenuti a trasportare dispostivi con batterie libere nel bagaglio a mano, mentre l’International Civil Aviation Organization (ICAO) dell’ONU, l’anno scorso, ha vietato il trasporto di batterie agli ioni di litio sui voli passeggeri.

Il risultato più probabile è che in un prossimo futuro computer portatili e tablet siano proibiti sia come bagaglio a mano che come bagaglio da stiva. Per il divieto attuale, il Governo USA ha dato alle compagnie aeree 96 ore di preavviso. Il prossimo divieto potrebbe entrare in vigore senza preavviso, se motivato da una imminente minaccia.

Ecco il problema più grave per chi viaggia per lavoro, un problema di cui nessuno sta parlando. E le aziende sono completamente impreparate.

L’accesso agli smartphone

Ancora meno si parla di quello che può succedere con gli smartphone. Lo scorso febbraio è stata riportata la notizia di uno scienziato della NASA, Sidd Bikkannavar, cittadino americano, che è stato costretto dagli agenti doganali degli Stati Uniti a sbloccare il suo telefono al suo rientro da un viaggio in Sud America. Il telefono è stato rilasciato dal governo e poteva contenere segreti della NASA o segreti riguardanti la sicurezza nazionale. La NASA ha specificamente istruito Bikkannavar a non condividere mai il codice di accesso del telefono, ma il ricercatore lo ha sbloccato davanti agli agenti. Il telefono è stato trattenuto per 30 minuti, e non è noto se e quali informazioni sono state estratte e per cosa siano state eventualmente usate.

Tecnicamente, i passeggeri possono rifiutare di fornire codici PIN o password, ma in questo caso gli agenti sono autorizzati a trattenerli.

Alcuni additano l’Amministrazione Trump per la posizione aggressiva sullo sblocco di smartphone, ma la situazione si sta evolvendo e il Dipartimento della Sicurezza USA sviluppa da anni nuovi strumenti per estrarre rapidamente i dati in dogane e aeroporti.

Come per il divieto sui computer portatili, le politiche e le pratiche del personale delle dogane che riguardano l’estrazione dei dati e la forzatura delle password sugli smartphone potrebbero cambiare senza preavviso, a seguito di una minaccia imminente.

Comprendere le implicazioni

Riguardo ai dispositivi mobili, le aziende dovrebbero ripensare i viaggi di lavoro con un duplice approccio.

In primo luogo, ci sono casi in cui le garanzie costituzionali sulla privacy e le indagini non valgono. Ogni attraversamento delle frontiere o passaggio doganale espone qualsiasi informazione aziendale (accessibile da uno smartphone) a indagini governative, senza necessità di un mandato. Le autorità di confine degli Stati Uniti possono estrarre qualsiasi tipo di dato e tutti i dati da uno smartphone.

In secondo luogo, tutto ciò che fanno gli Stati Uniti lo possono fare anche altri Paesi. Per esempio, gli strumenti utilizzati per estrarre i dati da dispositivi mobili sono comunemente disponibili e possono essere utilizzati per rubare segreti aziendali nei Paesi con spionaggio aziendale appoggiato dal governo locale.

Quando si parla del divieti di imbarco dei portatili o allo sblocco di uno smartphone si pensa al ritardo degli aerei, ai voli cancellati e alla violazione della privacy personale. Ma questi problemi non sono niente rispetto al rischio per i dati aziendali.

In assenza di un piano solido, chi viaggia per lavoro affronterà la situazione al momento, elaborando la soluzione che ritiene più opportuna, e che probabilmente non è sicura. Porterà con sé unità e dischi rigidi, che possono essere facilmente manomessi. Lascerà a casa il computer portatile e utilizzerà terminali pubblici, non sicuri. Alla dogana consegnerà volontariamente il computer, sbloccherà lo smartphone e fornirà le sue password.

Cosa fare

A questo punto dovrebbe essere chiaro: è necessario intervenire immediatamente per non mettere a rischio i dati aziendali a causa di regole e norme in rapida evoluzione in materia di viaggi aerei.

Le questioni da affrontare sono:

  • elaborare un piano strategico nel caso entrassero in vigore nuovi divieti sul trasporto di computer portatili. Questo può comprendere l’uso di computer portatili basati su cloud, come i Chromebook, per chi viaggia all’estero, nonché l’accesso sicuro ai dati aziendali in un modo che non è memorizzato sul dispositivo. Questa è sempre una buona strategia, a prescindere dall’introduzione di nuovi divieti.
  • un’azione immediata per eliminare la possibilità a chiunque, incluso l’utente, di accedere a dati chiave o informazioni sensibili da tutti i dispositivi, in particolare gli smartphone. La capacità di sospendere l’accesso o di rimuovere dati da un dispositivo può essere integrata nei telefoni o fornita come prodotto o servizio di terze parti. Le persone possono essere trattenute per un tempo indefinito se non forniscono password e codici PIN, ma non possono essere trattenute se non li hanno.

Probabilmente sarà necessario investire nell’acquisto e nello sviluppo di software e nella formazione del personale. Ma non c’è tempo da perdere: se le regole cambiano, cambiano velocemente. E bisogna essere pronti a proteggere i dati aziendali.