Sottovalutare i problemi di cybersecurity nello sviluppo di app mobile in genere comporta gravi danni economici e sociali per aziende, pubblica amministrazione e cittadinanza. I dispositivi mobili conservano dati sensibili come e-mail, numero di telefono, coordinate bancarie e un data breach può provocare furti d’identità e di denaro, interruzioni di servizi e persino rischi per la sicurezza dei lavoratori. Gli smartphone svolgono, insomma, compiti cruciali nella società e l’enorme massa di dati raccolti rende le applicazioni mobile uno dei principali obiettivi degli attacchi informatici.
Che il tema sia abbastanza urgente è reso palese dall’approvazione nel giugno 2021 di un decreto legge che istituisce l’Autorità Nazionale per la Cybersicurezza. Pubblichiamo quest’articolo del JOurnal nel mese europeo della sicurezza informatica, iniziativa UE per una serie di eventi di sensibilizzazione organizzati nel corso di ottobre 2021.
LE TIPOLOGIE DI ATTACCO INFORMATICO
L’impiego di programmi per mobile nelle imprese è incrementato esponenzialmente soprattutto grazie alla proliferazione di utili app di gestione aziendale: un esempio è JOBY di HT Apps, che permette di timbrare il cartellino direttamente con lo smartphone grazie al GPS.
La maggior parte delle aziende ha accolto la digital transformation con entusiasmo, convinta dalla possibilità di automatizzare processi, ridurre i costi ed espandere la gamma di servizi e prodotti. Ma questi vantaggi comportano ostacoli che troppo spesso vengono ignorati. Mentre questo trend ha reso ancora più chiara la necessità della digitalizzazione, infatti molti cyber-criminali hanno visto un’opportunità per fare guadagni illeciti.
Al momento, i tipi di attacchi che bisogna prendere in considerazione quando si sviluppa un’applicazione mobile sono quattro:
- vulnerabilità di un software obsoleto;
- password deboli;
- la modalità drive-by download;
- attacchi malware mirati.
CON LA PANDEMIA AUMENTANO MINACCE INFORMATICHE
La pandemia ha provocato uno spostamento di massa verso il lavoro da remoto e ha reso ancora più urgente la necessità di uno scambio tempestivo di informazioni. Il trend era già in atto, ma le restrizioni agli spostamenti hanno dato il via a una vera e propria corsa alla digitalizzazione da parte delle aziende con l’obiettivo di dare continuità al proprio business. È mancato quindi il tempo per maturare il giusto livello di consapevolezza sulla cybersecurity e conseguire un graduale apprendimento delle best practice.
Così, con la crescita tra 2020 e 2021 del traffico di informazioni e servizi erogati via internet e smartphone, è aumentata in maniera esponenziale anche la probabilità che un’azienda venga colpita da un attacco informatico.
Gli attacchi ransomware, in particolare, crescono a un ritmo del 400% ogni anno e nel 2020 sono costati alle imprese di tutto il mondo un totale di 20 miliardi di dollari. Secondo le stime di settore, nel 2025 il cybercrime costerà al mondo migliaia di miliardi di dollari l’anno, mentre il mercato della cybersecurity varrà 403 miliardi di dollari nel 2027.
Il crimine informatico, insomma, non è più opera di alcuni isolati individui seduti nelle loro camere da letto, ma una vera e propria industria.
Nel corso della pandemia gli attacchi informatici hanno colpito le catene di approvvigionamento cruciali nella lotta al COVID-19. IBM Security ha spiegato che “i cyber-attacchi si sono evoluti nel 2020, con gli autori delle minacce che hanno cercato di trarre profitto dalle inedite sfide socioeconomiche, finanziarie e politiche portate dalla pandemia di COVID-19”.
LA CYBERSECURITY IN EUROPA E IN ITALIA
A fronte di statistiche così preoccupanti, nel mese di ottobre 2021 dedicato alla cybersecurity l’UE ha scelto i temi della prevenzione e del primo soccorso in caso di attacco informatico, due argomenti particolarmente legati all’uso delle tecnologie mobile.
Annunciando l’inizio del mese della cybersecurity, l’UE ha specificato che la pandemia di coronavirus sta mettendo alla prova la resilienza della sicurezza della rete globale, mentre al tempo stesso spinge sempre più cittadini a condurre vita e lavoro online. “Le nostre vite sono passate alla dimensione digitale ed educare l’utente online è diventato ancora più importante”, si legge nel sito ufficiale.
La campagna di quest’anno si intitola “Think Before U Click” (pensa prima di cliccare) e il principale obiettivo è di assicurare che gli utenti finali e le organizzazioni siano ben informate sui potenziali rischi di cybersecurity.
La preoccupazione incrementa di anno in anno in maniera proporzionale alle nuove minacce ai sistemi informatici e una particolare attenzione si sta formando (finalmente) anche in Italia.
L’IMPORTANZA DELLA CYBERSICUREZZA NELLO SVILUPPO APP IN ITALIA
L’inedito uso di app governative da parte di una larga parte della popolazione, dall’accesso alla pubblica amministrazione con App IO attraverso il sistema SPID al monitoraggio dei contatti con Immuni, è stato di certo un fattore chiave del maggior investimento in cyber-sicurezza da parte delle istituzioni italiane.
Nel giugno 2021 il governo Draghi ha approvato un decreto legge che istituisce l’Agenzia per la Cyber-sicurezza Nazionale con la mission di rafforzare la sensibilizzazione di enti, cittadini e aziende in materia e promuovere le best practice nello sviluppo di software, web app e app mobile.
Denominato “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”, il decreto completa la strategia di cyber-resilienza nazionale in linea con la normativa UE. Il DL ha inoltre istituito il Comitato Interministeriale per la Cybersicurezza (CIC) con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza. Questi organismi collaborano con l’Agenzia per l’Italia Digitale (AgID) che assicura il coordinamento delle iniziative nell’ambito delle attività di indirizzo, pianificazione e monitoraggio della sicurezza informatica.
Fra i vari obiettivi c’è quello della promozione di una cultura della sicurezza cibernetica, la cui diffusione è particolarmente importante per un settore parcellizzato come quello dello sviluppo di applicazioni mobile.
IMPRESE E SETTORI PIÙ A RISCHIO ATTACCO INFORMATICO
Nel 2020 e nel 2021 è aumentato l’uso delle applicazioni mobile per una vasta gamma di operazioni: dall’acquisto di beni essenziali per la casa, alla ricerca del consiglio medico, alla connessione con amici, famiglia e colleghi di lavoro.
La grande diffusione delle tecnologie mobile nella fornitura di servizi e la quantità di dati personali, di organizzazioni e di aziende conservati su dispositivi mobili rende le applicazioni per smartphone un obiettivo lucroso per gli attacchi. Il 2020 ha infranto tutti i record per quanto riguarda dati persi in violazioni della sicurezza e attacchi a imprese, pubbliche amministrazioni e individui.
Per immaginare in quale percentuale gli attacchi informatici coinvolgano gli smartphone, basti sapere che già adesso vengono rimosse ogni giorno dagli store oltre 25.000 applicazioni mobile nocive.
Robuste implementazioni di cybersecurity nello sviluppo app sono perciò particolarmente importanti per il settore della sanità, dei trasporti e dell’agritech, in cui i frontline worker si trovano spesso a dover svolgere compiti in autonomia e potrebbero dover prendere delle decisioni con il supporto della sede centrale e di colleghi.
Secondo i dati PurpleSec, inoltre, il 43% degli attacchi informatici colpisce le piccole imprese, dove gli hacker sperano di trovare difese più basse.
La pandemia ha reso ancora più urgente, soprattutto per le aziende, l’adozione di best practice di cybersecurity e, in generale, un cambio di atteggiamento nei confronti delle applicazioni e dei servizi digitali.
Per un’azienda è importante essere cyber-sicura non solo per l’integrità delle proprie risorse interne, ma anche per la tutela dei propri clienti.
Nel giugno 2021 il governo Draghi ha approvato un decreto legge che istituisce l’Agenzia per la Cyber-sicurezza Nazionale con la mission di rafforzare la sensibilizzazione di enti, cittadini e aziende in materia e promuovere le best practice nello sviluppo di software, web app e app mobile.
Denominato “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”, il decreto completa la strategia di cyber-resilienza nazionale in linea con la normativa UE. Il DL ha inoltre istituito il Comitato Interministeriale per la Cybersicurezza (CIC) con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza. Questi organismi collaborano con l’Agenzia per l’Italia Digitale (AgID) che assicura il coordinamento delle iniziative nell’ambito delle attività di indirizzo, pianificazione e monitoraggio della sicurezza informatica.
Fra i vari obiettivi c’è quello della promozione di una cultura della sicurezza cibernetica, la cui diffusione è particolarmente importante per un settore parcellizzato come quello dello sviluppo di applicazioni mobile.
CYBERSECURITY NELLO SVILUPPO APP: I PUNTI CHIAVE
Quando ci si affida a uno sviluppatore di app è importante che questo impieghi degli standard di sicurezza ben definiti, perché i software per smartphone conservano dati sensibili. Vediamo quali sono le principali criticità legate alla cybersicurezza nello sviluppo di app e come evitare di incorrere in problemi.
CONTROLLARE LE APP DEGLI STORE
Utilizzare applicazioni presenti sul Play Store di Android e sull’App Store di iOS non garantisce la sicurezza informatica. I sistemi operativi Android sono generalmente i più colpiti: il controllo dell’app si basa principalmente sulle recensioni degli utenti, mentre il monitoraggio sulla piattaforma Apple è più rigido. Anche per quest’ultima, tuttavia, il numero di attacchi raddoppia di anno in anno. Non viene fornito, inoltre, un punteggio circa la sicurezza delle applicazioni e per tali ragioni molte aziende scelgono di rivolgersi a delle software house per lo sviluppo di app personalizzate.
SCRIVERE UN CODICE ROBUSTO
Un codice debole è la porta attraverso cui gli hacker infettano un’app, eppure sono diversi gli strumenti a disposizione degli sviluppatori per controllare la robustezza di un codice. Fra le best practice da implementare in tema di sicurezza ci sono l’analisi del codice di ogni app utilizzata dallo staff e l’agile sviluppo degli aggiornamenti e della patch. Analisi del codice statico, analisi dinamica e analisi della composizione del software sono altri tre dei modi in cui i team possono individuare, proteggere e aggiustare le vulnerabilità dei programmi.
CRITTOGRAFARE I DATI
La crittografia, che rende i dati illeggibili per chiunque non abbia la chiave di decrittazione, può proteggere le informazioni anche nel caso in cui le difese non bastino e si verifichi una vera e propria violazione della sicurezza.
TESTARE L’APP
Effettuare test sull’app è una delle principali pratiche per assicurarsi di avere fra le mani un prodotto funzionale e sicuro. Visto che la cybersicurezza si evolve continuamente per far fronte alle nuove minacce, molte imprese si rivolgono a delle compagnie di sviluppo software per testare periodicamente la propria applicazione. Conoscendo le ultime tendenze in fatto di attacchi informatici si possono individuare prontamente le minacce e rilasciare delle patch per mantenere alto il livello di sicurezza.
I protocolli di sicurezza informatica svolgono un ruolo molto importante nello sviluppo di app mobile, perciò bisogna applicare le best practice per proteggere l’integrità del software e delle informazioni. Che la tua app sia per un’azienda grande o piccola, la cybersecurity è vitale per mantenere tutti gli utenti e i loro dati personali al sicuro.
