Martedì 25 Marzo 2014
Shut down per Windows XP

Nonostante gli ormai continui avvertimenti da parte di Microsoft e di esperti di cybersecurityWindows XP viene ancora utilizzato da un consistente numero di organizzazioni governative, istituti finanziari e aziende in tutto il mondo. 
Quali sono i rischi e come proteggersi? 

Secondo le statistiche XP è ancor oggi il secondo sistema operativo più usato, dopo Windows 7. Del resto le migrazioni sono complesse, oltre che costose, e rischiano di causare problemi di incompatibilità di funzionamento per quanto riguarda vecchie applicazioni gestionali che possono risultare non pienamente compatibili con le versioni più recenti di Windows.

Timothy Rains, direttore dell'area Trustworthy Computing di Microsoft, ha avvertito che, in occasione del primo "patch day" dopo l’8 aprile, i criminali informatici inizieranno ad effettuare il reverse engineering degli aggiornamenti rilasciati, utilizzandoli per verificare se le vulnerabilità corrette nei sistemi operativi più recenti siano presenti anche in Windows XP.

Nonostante i problemi di sicurezza, sono tuttavia molte le grandi aziende che non finiranno le migrazioni in tempo e che hanno acquistato o acquisteranno servizi di supporto, come comunicato da un portavoce Microsoft.

Tra quanti ancora utilizzano il sistema Windows XP, e sono dunque esposti al rischio di subire attacchi, figurano il 95% degli sportelli automatici delle banche, circa 2,2 milioni di ATM in tutto il mondo. Si prevede che soltanto un terzo di questo ingente numero di sportelli bancomat verrà aggiornato a Windows 7 in tempo.

Secondo Reuters, le maggiori banche del Regno Unito avrebbero già stipulato accordi con Microsoft al fine di continuare a ricevere aggiornamenti di sicurezza. Si stima che per il solo supporto agli Atm britannici si spenderanno dai 50 ai 60 milioni di sterline.

Le aziende che non aggiornano i sistemi operativi lo fanno a proprio rischio, sia dal punto di vista della sicurezza, sia dal punto di vista della conformità - in particolare per quanto riguarda lo standard PCI DSS (Payment Card Industry Data Security Standard).

Per quanto riguarda i rivenditori, si calcola che il 30% dei sistemi POS eseguano Windows XP e che in molti casi non vi sia consapevolezza di questo. Mantenendo in esecuzione XP si corre dunque il rischio di non rispettare lo standard PCI DSS che impone ai rivenditori di mantenere continuamente aggiornato il sistema con le ultime patch di sicurezza.

Per quanto riguarda il panorama italiano, il c.d. “Disciplinare Tecnico” (Allegato B) del Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196), nell’art. 17 dispone: “Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.”
Ne consegue dunque che, a rigore, il titolare dei dati – nella maggior parte dei casi il titolare dell’azienda – dovrebbe avere a disposizione 6 mesi dopo l’8 aprile per aggiornare XP a Windows 7 oppure Windows 8 prima di essere penalmente perseguibile in caso di perdita di dati di terzi a causa di un’intrusione informatica.

A differenza degli Stati Uniti, dove le autorità federali hanno già avvertito che in caso di furto delle informazioni dei correntisti a causa del mancato aggiornamento del sistema saranno ritenuti penalmente responsabili gli istituti bancari, in Italia il Garante della Privacy non si è ancora pronunciato.

Quali sono le best practices per le organizzazioni che non termineranno in tempo la migrazione verso una piattaforma più recente?

E’ sicuramente importante limitare i privilegi di amministrazione, tenere aggiornati browser e sistemi antivirus e utilizzare firewall attivi anche a livello client.

Gli esperti Yarix consigliano inoltre alle aziende di effettuare un’analisi del rischio per individuare con precisione l’ambito in cui applicare controlli di sicurezza volti a mitigare il rischio stesso. Qualora il rapporto di diffusione di Windows XP fosse elevato, l’azienda potrebbe valutare soluzioni centralizzate volte a contenere i rischi di intrusione durante l’utilizzo di internet (come SWG di TrustWave che permette il rilevamento e la prevenzione delle intrusioni in tempo reale). 

Vedi anche: