Smart working e cyber security, ToothPic: le soluzioni passwordless per un rientro in ufficio più sicuro
Scritto da Davide Macor il 02/09/2021
Lavorare da casa o in mobilità è un’esigenza sempre più sentita dai dipendenti delle aziende che nell’ultimo anno e mezzo, a causa della pandemia, hanno introdotto lo smart working e l’home working. Tuttavia, questa gestione del lavoro da remoto può avere un risvolto della medaglia negativo per quanto riguarda gli attacchi informatici ai danni delle stesse aziende. A fare il punto, proprio in occasione del “back to work” di settembre, è ToothPic, startup innovativa made in Torino al servizio della cyber sicurezza.
“Da una parte i dispositivi personali non hanno le stesse protezioni dei device forniti dall’azienda e lo stesso livello di monitoraggio e qualità, dall’altra le reti domestiche utilizzano dispositivi di rete economici di livello consumer con software e protezione di rete spesso obsoleti, compromessi o non configurati correttamente”, spiegano i fondatori di ToothPic Enrico Magli, Diego Valsesia, Giulio Coluccia e Tiziano Bianchi.
A dimostrarlo sono i dati dello studio di IBM Security*, che ha rilevato un incremento di attacchi informatici durante la pandemia, con un costo molto elevato per le aziende: $4,24 milioni per incidente, il più alto nei 17 anni di storia del rapporto. In particolare, le violazioni dei dati risultano essere più costose (in media oltre $1 milione) quando viene indicato il lavoro a distanza tra i fattori dell’evento. A completare lo scenario è il Rapporto sulla Sicurezza ICT in Italia (2021)** di Clusit che racconta come nell’anno della pandemia si sia registrato il record degli attacchi informatici a livello globale: nel 2020 sono stati rilevati 1.871 attacchi gravi di dominio pubblico, il 12% in più rispetto al 2019.
Al centro della violazione dei dati ci sono le password: secondo il Verizon Data Breach Investigations Report del 2019, l’80% delle violazioni legate all’hacking riguardava credenziali compromesse e deboli e il 29% di tutte le violazioni, indipendentemente dal tipo di attacco, riguardava l’uso di credenziali rubate. Inoltre, per le aziende più grandi, riporta un report del World Economic Forum, si stima che quasi il 50% dei costi dell’help desk IT sia destinato alla reimpostazione delle password aziendali e che in media ogni singolo reset di una password costa alle aziende $70.
Per correre ai ripari sempre più aziende stanno scegliendo di investire su tecnologie di sicurezza e su soluzioni passwordless: secondo Gartner***, entro il 2022 il 60% delle grandi imprese globali e il 90% delle medie imprese implementeranno metodi passwordless in oltre il 50% dei casi d’uso, rispetto al 5% del 2018.
“Purtroppo i numerosi furti di credenziali avvenuti negli ultimi mesi hanno dimostrato quanto i metodi di accesso tradizionali ancora oggi siano troppo vulnerabili, oltre che poco user-friendly, soprattutto per chi lavora in grandi aziende, istituti finanziari e Pubblica Amministrazione”, sottolineano i fondatori di ToothPic.
Proprio in questo contesto ToothPic ha inventato, progettato, sviluppato e brevettato una tecnologia MFA (Multifactor Authentication) unica al mondo che permette allo smartphone di diventare una chiave di accesso sicura per l’autenticazione online, eliminando così la necessità di ulteriori password, strumenti o device esterni. Una soluzione sicura che sfrutta la firma nascosta e involontaria che lascia ciascuna fotocamera, trasformando lo smartphone in uno strumento di autenticazione univoca.
ToothPic ha così implementato alcune soluzioni innovative che permettono alle aziende di aumentare i livelli di sicurezza, migliorando allo stesso tempo l’usabilità dell’esperienza di accesso e di utilizzo di risorse e documenti aziendali, soprattutto in contesti in cui la forza lavoro è distribuita tra ufficio e casa.
Nell’area Corporate, ad esempio, la tecnologia passwordless protegge l’accesso del personale di un’azienda alle risorse aziendali online: oggi le aziende hanno spostato in cloud e online parte delle loro attività e dei documenti, con il rischio però di amplificare l’area di attacco per gli hacker. In questo contesto, ToothPic permette agli impiegati di utilizzare il proprio smartphone come chiave di autenticazione sicura per accedere alle piattaforme aziendali, proteggendo la propria identità e i dati sensibili da eventuali furti.
A livello manageriale invece, la tecnologia arriva a soddisfare le necessità della firma digitale, il cui utilizzo è aumentato da parte delle aziende per via del lavoro da remoto, soprattutto nei casi in cui gli uffici sono distribuiti in tutto il mondo. Una pratica comunemente adottata è la condivisione di dispositivi fisici di autenticazione (hardware token) che tuttavia, oltre ad essere molto costosi, aumentano il rischio del furto di credenziali, poiché possono essere facilmente persi o rubati. Con ToothPic invece le aziende possono permettere a clienti e dipendenti l’utilizzo del proprio smartphone come firma digitale per sottoscrivere contratti, polizze e accordi. ToothPic infatti riconosce il dispositivo utilizzato dai dipendenti per firmare i documenti e archivia in modo sicuro le chiavi sugli smartphone, crittografandole attraverso le imperfezioni uniche e non clonabili dei sensori fotografici. In questo modo, i documenti confidenziali sono protetti da malware.
Una sicurezza anche nel caso dello scambio di documenti riservati che possono essere intercettati o inviati per errore ad altre persone, compromettendone la sicurezza e rivelando informazioni sensibili. ToothPic ha per questo implementato un protocollo che consente al solo destinatario – dunque solo ad uno specifico smartphone – di aprire messaggi e documenti criptati, evitando così il rischio che le credenziali vengano clonate e intercettate da terze parti.
Come funziona la soluzione di ToothPic? Quando si accede tramite smartphone ad un account o ad un documento, il sistema grazie a ToothPic accede in maniera automatica al sensore fotografico e ne verifica l’impronta, che viene a sua volta utilizzata per ricavare una chiave crittografica privata. In questo modo viene verificato il reale possesso dello smartphone da parte dell’utente e si procede velocemente al login. In più i dati segreti che identificano l’utente non sono mai memorizzati sullo smartphone.