VPN aziendale: vantaggi e rischi per la cybersecurity

Abbiamo appena superato un anno disastroso per quanto riguarda gli attacchi hacker alle grosse aziende, e chi ha una VPN aziendale potrebbe aver alzato le antenne. 

Dal server Microsoft Exchange messo sotto scacco dagli hacker cinesi al caso degli hacker russi che “bucano” i server dell’azienda di infrastrutture IT SolarWinds, sono molte le storie poco edificanti sul tema della sicurezza dei server aziendali. 

Ma la domanda che le aziende si pongono è: basterà una rete VPN aziendale a metterci al sicuro da questi cyber-attacchi?

In parte, sì. Però, un aspetto anche più inquietante dei nuovi cyber-attacchi è che non risparmiano nemmeno i dispositivi che utilizzano la rete privata offerta dalle VPN aziendali.

Come salvarsi, quindi? Vediamolo insieme cercando di distinguere anche in base al tipo di VPN che usa la tua azienda.

Cos’è una VPN 

Iniziamo dal principio: VPN significa “Virtual Private Network”, ovvero “rete privata virtuale” (quindi, tecnicamente, chiamarla “rete VPN” è un po’ ridondante).

È una rete perché i computer che sono connessi a una VPN si comportano come se fossero fisicamente connessi in una rete privata LAN. 

In realtà, gli utenti si connettono in remoto dal proprio dispositivo a un server VPN, che fisicamente ospita la rete VPN, il che rende la rete privata uno spazio virtuale e non fisico: materialmente, tutti gli utenti comunicano tra di loro in un ambiente sicuro, ma rimanendo comodamente a casa propria, o in trasferta, o dovunque si voglia.

Come funziona una VPN aziendale

Il principio base della rete VPN aziendale è quello di connettere il dispositivo dell’utente remoto alla rete virtuale con un tunnel di dati sicuri.

Il tunnel è consentito dalla crittografia: i dati che scambi con la tua rete aziendale vengono crittografati, quindi “avvolti” da uno strato esterno che li rende incomprensibili per chiunque non abbia la chiave per decifrarli. 

La gestione della crittografia avviene attraverso un protocollo di sicurezza. I protocolli più comuni sono PPTP, L2TP, SSTP, IKEv2, e OpenVPN.

VPN aziendale: vantaggi principali

La nascita delle VPN in Italia

Le imprese italiane hanno iniziato a interessarsi sempre di più all’applicazione della rete VPN e ai relativi vantaggi in seguito alla pandemia. Una tendenza mondiale, come possiamo verificare dalle statistiche aggiornate del sito Top10VPN.

Al di là dei contesti specifici dei vari Stati del mondo, non è poi così difficile intuire il motivo principale del successo delle VPN: come si poteva garantire a tutti i dispositivi dei dipendenti in smartworking un accesso sicuro e controllato alla rete aziendale?

È stata l’urgenza di lavoro da remoto e di privacy a far sembrare i vantaggi della VPN ghiotti a diverse realtà. 

VPN aziendale, i vantaggi

Una VPN aziendale ha dei vantaggi indiscutibili:

• La privacy: consente un accesso sicuro alla rete e alle risorse aziendali da qualunque parte del mondo
• È una soluzione generalmente economica, sia che venga creata internamente sia che si scelga una VPN as-a-service.
• Consente l’accesso con dispositivi diversi
• L’autenticazione alla VPN può avvenire con password, ma anche con smartcard e riconoscimento biometrico.
• La VPN consente di evitare la censura che alcuni Stati operano su alcuni siti o strumenti online, mantenendo intatta la propria privacy.

Rischi per chi usa una VPN aziendale – cybersecurity

Ci sono però, per la VPN come per tutte le tecnologie, dei momenti bui in cui emergono dei rischi. 

La società di sicurezza FireEye a maggio 2021 ha rivelato di aver trovato diversi malware che si erano infilati nella VPN Pulse Secure attraverso dei punti vulnerabili del sistema di credenziali. Le vittime erano obiettivi alti, quindi governi, istituti finanziari e responsabili della Difesa. 

Gli hacker hanno rubato delle credenziali private, entrando in modo lecito nella VPN aziendale. 

Ciò avviene per la natura stessa della rete privata virtuale: una volta entrati è molto difficile essere riconosciuti dal server VPN come una minaccia, perché ci si è comportati in modo formalmente lecito. 

Certo, si tratta di target molto alti, però è importante anche per le piccole e medie aziende mantenere alta la guardia, perché l’incremento esponenziale delle VPN aziendali potrebbe portare gli hacker a puntare anche a pesci più piccoli. 

Come salvare la privacy policy aziendale?

La privacy policy aziendale impone che chi ha una VPN oggi debba prestare sempre attenzione ai propri dispositivi e alla gestione delle proprie credenziali personali. Questo consiglio riguarda tutte le buone pratiche di cyber security aziendale, non solo quelle relative alla VPN. 

I protocolli di sicurezza in una VPN

Non è solo – purtroppo – una questione di protocollo di sicurezza utilizzato: le VPN basate sul protocollo IPsec erano considerate più sicure e affidabili, ma a volte risultano difficili da comprendere per gli utenti.
Quindi, con l’esplosione del lavoro da remoto/smartworking e le encessità di privacy aziendale, sempre più VPN sono state costruite su crittografie di uso più semplice, come i single sockets layer e transport layer security. Però, è un campo ancora largamente inesplorato dagli hacker, e per ora le nostre paure sono solo potenziali.

Un modo per “salvarsi” è consultare sempre attentamente le specifiche tecniche della VPN aziendale che si ha, o della VPN che si va ad acquistare. 

Scegli oculatamente la tua VPN, anche se oggi sembrano tutte sicure: solo così potrai davvero garantire la sicurezza che questa tecnologia promette, mettendoti al riparo per il futuro prossimo.