Dall'inizio dalla pandemia da COVID-19, le VPN sono nell'occhio del ciclone. La stragrande maggioranza delle aziende si è appoggiato alle reti private virtuali per consentire ai dipendenti di accedere da casa ai server aziendali. L'uso intensivo di questa connessione tuttavia ha fatto emergere problemi, preoccupazioni e vulnerabilità. Sono sette quelli più comuni, li riassumiamo di seguito.

Prima però facciamo il punto della situazione. Si può immaginare una VPN come un tunnel blindato all'interno del quale transitano le informazioni crittografate in viaggio da e verso i server aziendali. Quasi tutte le aziende usavano le VPN da tempo, ma per un numero ristretto di dipendenti. Quando è scattato il lockdown è stato necessario ampliare a dismisura la capacità di ricevere connessioni dall'esterno. Finché non è stato fatto, i dipendenti faticavano a connettersi.
Ora che siamo entrati nella Fase 2, la sicurezza è tutto fuorché assicurata. Le VPN garantiscono sicurezza nella connessione. Ma se il computer a monte non è sicuro, le minacce che ha contratto rischiano di entrare direttamente in azienda. Ecco perché gli esperti di sicurezza hanno sottolineato a più riprese che è imperativo rafforzare le misure di cyber security qualora fossero deboli prima della pandemia. E che la VPN da sola non basta. Inoltre, con il passare delle settimane si sono diffusi attacchi DDoS e ransomware ai danni delle connessioni VPN.

Politiche a tutela delle credenziali

Qualcuno ha consigliato di associare la VPN all'autenticazione a più fattori. Il motivo è che, al contrario dello Zero Trust,  con le VPN è impossibile creare o applicare politiche a protezione delle credenziali. Questo consente ai cyber criminali di accedere illegalmente alla rete. Magari sfruttando un'imprudenza commessa da un dipendente o da un fornitore di terze parti. Un esempio su tutti è la condivisione delle credenziali o il riciclo di password deboli dagli account personali.

VPN sicura, meno produttività

Il titolo è forte, ma rispecchia la realtà dei fatti. Usare una VPN aumenta la sicurezza, ma diminuisce la velocità di connessione. I fattori che la rallentano possono essere molteplici e l'unico modo per identificarli sono test approfonditi, che richiedono tempo. Tempo durante il quale i dipendenti non sono produttivi o lo sono solo in parte. Probabilmente è per questo che molti dipendenti hanno impiegato diversi giorni prima di riuscire a lavorare da casa una volta iniziato il lockdown. 

Elevati costi di supporto

Le VPN non prevedono una gestione remota centralizzata. Non è possibile distribuire, monitorare e gestire tutte le connessioni da un'unica posizione. Gli addetti al supporto spendono tantissimo tempo nella gestione degli endpoint VPN e delle applicazioni connesse. Ci sono poi casi in cui il supporto non c'è, come ad esempio per i fornitori di terze parti, il che rallenta ancora più il lavoro.

Tutti o nessuno

Quando un'azienda utilizza una VPN, fornisce a dipendenti e fornitori l'accesso alla rete. L'unico modo per limitare l'accesso ai dati è operare una rigorosa segmentazione della rete con firewall e switch. Questo, tuttavia, aggiunge ulteriore complessità. Non è possibile assegnare permessi differenziati, o un accesso parziale solo alle risorse necessarie. In questo scenario, maggiore è il numero di server, applicazioni e apparecchiature di rete a cui ci si connette, maggiore è il rischio per l'azienda.

Responsabilità e illusioni

È molto difficile monitorare e registrare le azioni che ciascuno svolge utilizzando la VPN. Di solito, tutto ciò che viene registrato sono i tempi di connessione. Il monitoraggio dei dati è separato e controllarlo richiede tempo aggiuntivo. La mancanza di un accesso semplice e centralizzato a tutte le informazioni storiche su una connessione (utente, applicazioni a cui si accede, motivo dell'accesso, eccetera) rende impossibile provare chi o cosa ha creato un problema, qualora si verificasse una violazione.

Alla luce di quanto visto finora, la VPN non è una cassaforte privata. Storicamente i cyber criminali hanno sfruttato i protocolli VPN deboli e le connessioni Internet non sicure per violare molte aziende. Anzi, i criminali informatici usano spesso le VPN per accedere alle reti. Soprattutto se sono usate da fornitori di terze parti.

Una possibile via d'uscita

La soluzione alle carenze delle VPN esiste già, è lo Zero Trust. È l'erede naturale della VPN. Che ne garantisce i benefici eliminandone i problemi. Google ha appena iniziato ed erogare un servizio di questo tipo. Se è vero che l'implementazione di un'infrastruttura Zero Trust richiede tempo, ci sono delle soluzioni parziali che si possono adottare piuttosto agevolmente e che risolvono molti problemi. Ad esempio, si può attivare da subito il modello Zero Trust per l'accesso remoto, poi in futuro riprendere da lì e ampliare progressivamente l'implementazione.

La prima cosa da fare è un censimento degli strumenti che i dipendenti stanno usando per lavorare da casa. Secondo passaggio è definire le politiche di accesso. In particolare, i permessi di accesso devono essere quanto più restrittivi possibile: l'indispensabile per lavorare, soprattutto per chi usa sistemi obsoleti e poco sicuri. È poi necessario chiedere ai dipendenti di installare sui propri dispositivi personali una soluzione di gestione dei dispositivi mobili (MDM).