In un contesto in cui gli attacchi informatici si moltiplicano contro le organizzazioni che fanno ricorso sempre più al lavoro ibrido e quindi alle riunioni da remoto, le organizzazioni stesse devono prestare particolare attenzione alla sicurezza delle videoconferenze. La crittografia end-to-end, la localizzazione dei server, sistemi di autenticazione…come criteri che devono guidare la scelta in materia di soluzioni per videoconferenze. La posta in gioco è alta, tanto che i fornitori si contendono un mercato in crescita che dovrebbe raggiungere i 20 miliardi di dollari nel 2024[1].
Quali sono le tecnologie più sicure? Quali consigli per mettere in sicurezza la riservatezza delle riunioni online? Panoramica.
Quattro consigli per mettere in sicurezza la riservatezza delle riunioni online
Primo consiglio, il ricorso ad applicazioni proprietarie è da evitare il più possibile. Ricordiamo che l’applicazione proprietaria indica un programma informatico con un autore definito che rifiuta il libero accesso al codice sorgente. Questo impedisce di visualizzare, modificare e distribuire il codice (es: Zoom, Google Meet). Il problema risiede nel fatto che i fornitori di questi software sono spesso meno disposti a implementare rapidamente correzioni necessarie, privilegiando l’uscita di una nuova versione per correggere i problemi di sicurezza. Inoltre, questi fornitori tendono a integrare poco la nozione di trasparenza.
L’alternativa si chiama “Open-source” o software di libero accesso che si basa su una community. Queste soluzioni permettono a numerose persone, tra cui esperti in sicurezza informatica, di avere accesso al codice sorgente per sfruttare le falle nella sicurezza nei software al fine di identificare i punti deboli. Pertanto, queste falle nella sicurezza vengono rilevate e corrette più rapidamente e in modo più trasparente per i software liberi che non per i software proprietari.
Un altro consiglio è quello di scaricare assolutamente l’applicazione da un sito ufficiale. Questo può sembrare ovvio, ma certi siti dall’aspetto professionale possono portarvi a scaricare un virus informatico nascosto in un vero software di videoconferenze.
Per quanto riguarda la password per collegarsi al software o accedere a una videoconferenza, la buona pratica consiste nell’utilizzare una password sicura, vale a dire usando caratteri speciali della tastiera e cambiarla regolarmente. Pensare di utilizzare una password che non contenga nomi dell’utente, della famiglia o dell’azienda.
L’ultimo consiglio è la valutazione di sistemi di autenticazione. Molto spesso una soluzione avanzata permette di confermare la propria identità, al di là della password, tramite l’invio di un SMS di sicurezza che contiene una serie di numeri utilizzabili una volta sola. Altre soluzioni permettono anche l’identificazione tramite soluzioni hardware per le opzioni Touch ID e Face ID.
Le soluzioni di videoconferenza più sicure
Sul mercato sono disponibili numerose soluzioni per videoconferenze. Oltre alle più popolari (Teams, Google Meet,…), occorre prendere in considerazione la localizzazione dei server, l’accesso al codice sorgente e il livello di crittografia dei dati per valutare il grado di sicurezza. Ecco tre soluzioni che fanno parte della base interministeriale di software liberi raccomandati dallo stato francese[2], che hanno attirato la nostra attenzione:
Tixeo
Tixeo è un’azienda francese che garantisce un alto livello di riservatezza. La soluzione ha l’autorizzazione di sicurezza fornita dall’ANSSI (Agence nationale de la sécurité des systèmes d’information – Agenzia nazionale per la sicurezza dei dati informatici) che consente alle aziende di identificare le soluzioni di sicurezza più affidabili. La soluzione offre una crittografia end-to-end (sistema di comunicazione in cui solo le persone che comunicano possono leggere i messaggi scambiati) non soggetta a normative straniere, fatto che garantisce una sovranità totale dei dati. Ricordiamo che se si vuole utilizzare un soluzione di un fornitore americano, i dati saranno soggetti al Cloud Act (legge federale) che permette l’accesso ai dati salvati da aziende americane, indipendentemente dalla loro localizzazione[3].
Jitsi
Jitsi è un’applicazione libera, l’utente può accedere al suo codice e modificarlo (open source). La soluzione è stata scelta dallo stato francese (DINUM) come sistema di “web conference” degli addetti ai servizi dello stato francese, e lo gestisce su server propri per garantire la riservatezza degli scambi[4] ma non è utilizzabile per le informazioni a “Diffusione limitata”.
Bigbluebutton
BigBluebutton è sotto una licenza libera, il suo codice sorgente è accessibile su Github. È possibile quindi ospitare l’applicazione sul proprio server per garantire la riservatezza delle vostre videoconferenze. Esistono quindi numerose soluzioni per migliorare la sicurezza delle videoconferenze. La scelta di una soluzione di videoconferenza non può essere fatta unicamente basandosi su criteri di prezzo, di funzionalità di registrazione o di esperienza utente (UX). È fondamentale per le organizzazioni valutare il grado di protezione dei dati, la localizzazione dei server, l’accesso al codice sorgente o anche il sistema di autenticazione in diverse tappe al fine di poter scegliere la soluzione più duratura.
