Come si sta trasformando la professione del giornalista, per cui le tecnologie digitali sono sempre più fondamentali? In un contesto sempre più tecnologizzato, è importante avere delle nozioni di sicurezza informatica per tutelarci dalle minacce alla privacy e alle nostre informazioni più preziose. Chi si occupa di cybersecurity deve individuare i rischi collegati ai sistemi informatici coinvolti, prendere precauzioni per proteggere i dati da possibili attacchi e mitigarli. L’ENISA (Agenzia europea per la sicurezza delle reti e dell’informazione) ha progettato una piattaforma che fornisce report dinamici con diagrammi a bolle che aggiungono informazioni sempre più dettagliate sulle varie minacce.
Questo workshop dal taglio pratico è stato condotto da Alessandro Rodolfi, professore di Sicurezza Informatica e cultore di Informatica Giuridica presso l’Università Statale di Milano, e Valerio Edoardo Vertua, avvocato specializzato in Computer Forensics ed Investigazioni Digitali presso l’Università degli Studi di Milano. Si è parlato dei dieci punti basilari della “cyber igiene” che rende più sicura l’attività del giornalismo investigativo: 1) Comunicare in modo sicuro, 2) Scegliere una password forte, 3) Proteggersi contro i cyberattacchi, 4) Cifrare i dati, 5) Cancellare realmente i dati, 6) Servirsi di VPN, 7) Inviare email in modo sicuro, 8) Backup in mobilità, 9) Utilizzare sistemi operativi portatili sicuri (Tails), 10) I migliori servizi di sicurezza in cloud.
Per una comunicazione sicura è fondamentale fare in modo di non essere intercettati da un eventuale attaccante. È possibile utilizzare software e dispositivi hardware dedicati, con diversi livelli di sicurezza e costi. Dobbiamo ragionare secondo un “track modeling”: capire che tipo di dati trattiamo e quali potrebbero essere gli attaccanti interessanti in modo da focalizzare il nostro sforzo verso quel particolare tipo di “cyber risk”. Esistono vari plug-in (estensioni), come Everywhere, che ci forzano a stabilire una connessione crittografata quando entriamo in un sito. Il passaggio successivo è un browser per abilitare l’anonimato nella navigazione, ad esempio in stati non democratici per aggirare i filtri e navigare senza essere intercettati. Signal e Wickr sono due servizi di messaggistica istantanea crittografata. In ambito giornalistico ci sono piattaforme ad hoc per la gestione delle fonti riservate: Secure Drop (elimina i metadati) e Global Leaks. È importante scegliere una password forte; due siti per valutare la sicurezza delle nostre password: Kaspersky e How secure is my password. Laddove è possibile, usiamo il sistema di autenticazione one-time password. Per proteggerci dai cyberattacchi è buona pratica non lasciare incustoditi i dispositivi, utilizzare antivirus avanzati antiphishing e abilitare firewall in locale. Fondamentale è anche la cancellazione dei dati: gli hard disk esterni e le chiavette usb hanno tecnologie di controllo per la sovrascrittura che rende complicatissima la cancellazione reale del dato; per eludere il problema esistono delle “portable apps”. Altre accortezze: usare connessioni VPN quando ci colleghiamo a una rete aperta, meglio se a pagamento; mettere le nostre mail in sicurezza: ProtonMail ha piani tariffari differenti (se usiamo questo sistema lo deve usare anche la controparte). I più usati per crittografare: GnuPG e S/MIME. Tails è un sistema operativo live «per privacy per tutti dappertutto». Dal momento che è pacifico che i cardini della sicurezza si basano su cifratura e autenticazione, è consigliabile la multifactor authentication, a costo zero. Infine, per la cifratura anche su cloud, abbiamo a disposizione varie tipologie di software: VeraCrypt, Cryptomator, SpiderOak, Tresorit.
Alessandra Paparatty - volontaria press office IJF19