SHIELD

Spostamenti

Vacanze e privacy: il modello di minaccia che si dimentica in costume da bagno

In vacanza si abbassano tutte le difese nel momento in cui si espone di più: foto geolocalizzate in tempo reale, Wi-Fi d'albergo, dispositivi dei bambini, casa vuota annunciata pubblicamente. Il modello di minaccia del tempo libero, trattato senza paranoia.

Pubblicato il 7 min di lettura General

Ultima revisione:

Spiaggia deserta, sdraio e ombrellone in riva all'acqua

Una conoscenza pubblica, dalla spiaggia, una foto dei suoi bambini con la didascalia « finalmente due settimane di pace a [nome del paese] ». La foto è bella. Dice anche, a chi vuole intendere: la casa principale è vuota, ecco che aspetto hanno i bambini, ecco dove sono, e questo per i prossimi quindici giorni. Niente di tutto ciò era l’intenzione. Tutto ciò è stato comunque detto.

Le vacanze sono il momento in cui si abbassano coscienziosamente tutte le difese che si sono faticosamente tenute il resto dell’anno. È anche lo scopo, del resto: si parte per staccare. Il problema è che il rilassamento mentale si accompagna a un rilassamento digitale, e che sopraggiunge nel momento preciso in cui si espone di più.

Non è un appello alla paranoia estiva. Nessuno dovrebbe passare le vacanze a cifrare le cartoline. È una constatazione su qualche riflesso che costa poco e cambia molto, e su una categoria di esposizione che si dimentica completamente: quella dei bambini.

La trappola abituale

L’idea diffusa è che la sicurezza digitale sia una faccenda professionale. In ufficio si sta attenti. In vacanza si è in famiglia, tra amici, in un contesto privato, quindi ci si rilassa. Il digitale del tempo libero sarebbe una zona senza posta in gioco.

È esattamente l’opposto. In vacanza, tre cose cambiano contemporaneamente. Si pubblica di più, e in tempo reale, perché è il momento che si vuole condividere. Si usano reti che non si controllano, quelle dell’albergo, del campeggio, del ristorante. E si porta tutta la famiglia, compresi bambini i cui dati sono ancora meno protetti dei nostri, e la cui immagine finisce pubblicata da adulti che non si pongono la domanda.

Il contesto privato non riduce l’esposizione. Riduce la vigilanza. E un ladro, un molestatore o un venditore aggressivo non fa differenza tra i Suoi dati professionali e i Suoi dati da spiaggia.

Modello di minaccia reale

Bisogna nominare gli attori, perché non sono quelli che si immagina. Niente servizio segreto qui, niente spionaggio industriale. Minacce ordinarie, proprio perché sono ordinarie.

Il furto in casa informato arriva in testa. La casa vuota annunciata pubblicamente, con le date, è un’informazione direttamente sfruttabile. I social network sono diventati uno strumento di sopralluogo per i ladri, e la foto « partiamo per due settimane » è un segnale chiaro quanto un cartello sulla porta.

Smartphone che mostra una mappa di geolocalizzazione
Una foto pubblicata in tempo reale dice due cose: dove Lei è, e dove non è.

La geolocalizzazione involontaria viene dopo. I metadatiDati sui dati: chi ha scritto cosa, quando, dove, a chi. delle foto, i famosi dati EXIFMetadati allegati alle immagini: data, GPS, modello di dispositivo, parametri di scatto., contengono spesso le coordinate GPS esatte del luogo di scatto. Alcune piattaforme li rimuovono alla pubblicazione, altre no. E la semplice pubblicazione in tempo reale, indipendentemente dai metadati, rivela la Sua posizione alla Sua lista di amici, che non è sempre così chiusa come si crede.

La rete non controllata chiude il quadro. Il Wi-Fi pubblicoRete Wi-Fi aperta o condivisa (hotel, bar, conferenza) — modello di minaccia particolare. dell’albergo o del campeggio presenta lo stesso profilo di rischio di quello di un aeroporto: gestito da un terzo, mal configurato, talvolta imitato da un falso punto d’accesso. Con l’HTTPS generalizzato, il rischio si è ridotto, ma non è sparito, e ci si connette in vacanza con una spensieratezza che non si avrebbe al lavoro.

L’angolo cieco dei bambini

È la parte che si tratta di meno, ed è forse la più importante. Un bambino non ha acconsentito alla sua presenza online. Ogni foto pubblicata da un genitore costruisce, senza il suo consenso, un’impronta digitale che lo seguirà e che non ha scelto.

Oltre al principio, c’è il concreto. Una foto di bambino geolocalizzata, con il nome nella didascalia e la scuola menzionata altrove sul profilo, è un dossier di sopralluogo. La maggior parte dei genitori che pubblica questi elementi non li ha mai guardati come un insieme. Messi insieme, disegnano una cartografia precisa della vita di un minore.

L’approccio giusto

La regola strutturante è più semplice qui che per il resto del sito: rinviare anziché diffondere. La quasi totalità del rischio legato alla condivisione delle vacanze sparisce se si pubblica al ritorno anziché in tempo reale. La foto sarà altrettanto bella tra due settimane, e non dirà più « la mia casa è vuota in questo momento ».

Per il resto, tre riflessi bastano a coprire l’essenziale.

Disattivare la geolocalizzazione delle foto sul telefono, una volta per tutte. È un’impostazione, non un’abitudine da tenere. Su iPhone come su Android, si può disattivare la registrazione della posizione nelle foto.

Attivare un VPNTunnel cifrato tra il dispositivo e un server, che nasconde l'IP e il traffico al proprio ISP. sulle reti di alloggio, con lo stesso riflesso della trasferta professionale. Una eSIM datiSIM integrata e riprogrammabile, compatibile con più profili operatore. locale, fuori dall’Europa, evita persino di dipendere dal Wi-Fi dell’albergo.

Verificare, una volta, chi vede realmente le proprie pubblicazioni. La maggior parte delle persone pubblica davanti a un pubblico molto più ampio di quanto pensi. Un’impostazione di privacy passata in rassegna prima delle vacanze vale tutti i riflessi tenuti durante.

Cosa comporta concretamente

Angle de lecture

Per Lei, come privato

Lei parte in vacanza, vuole condividere, è legittimo ed è lo scopo. Non si tratta di privarsene, solo di spostare il cursore.

L’unico vero cambiamento di comportamento da adottare: pubblichi al ritorno, non in diretta. Mantiene tutto il piacere della condivisione, elimina l’essenziale del rischio. La casa vuota non è più annunciata, la Sua posizione in tempo reale non è più diffusa.

Le tre impostazioni da fare una volta, prima di partire: disattivi la geolocalizzazione delle foto nelle impostazioni del Suo telefono, verifichi chi vede le Sue pubblicazioni sui Suoi social, e installi un VPN che attiverà sui Wi-Fi d’albergo.

Per i bambini, la regola è ancora più semplice: meno è meglio. E se pubblica, mai il nome, il luogo e l’istituto scolastico nello stesso posto. Presi separatamente non sono nulla, messi insieme sono un dossier.

Per Lei, CISO / Direzione IT

Il periodo delle vacanze è un angolo cieco della maggior parte dei programmi di sensibilizzazione, che si concentrano sulla trasferta professionale e dimenticano che i Suoi collaboratori partono anche in ferie con i loro dispositivi, talvolta professionali.

Due punti meritano la Sua attenzione. Anzitutto, i dispositivi professionali che partono in vacanza: un telefono aziendale portato in ferie all’estero resta un punto d’accesso al Suo sistema informativo, su reti non controllate, con una vigilanza ridotta. Una policy chiara sull’uso dei dispositivi aziendali in ferie, né divieto irrealistico né lassismo, evita molti incidenti al rientro.

Poi, il dirigente e le funzioni sensibili in vacanza. La loro esposizione personale non va in ferie. Un dirigente che pubblica la sua posizione di vacanza in tempo reale offre una finestra a chi prepara una frode del CEO o un approccio di ingegneria sociale: « so che è alle Seychelles questa settimana, l’assistente è sola, è il momento ». La sensibilizzazione prima dell’estate, mirata sui profili esposti, ha un eccellente rapporto costo-efficacia.

Errori che si vedono di continuo

Pubblicare in tempo reale « siamo arrivati! » con la foto della casa in affitto e il nome del paese. C’è tutto: Lei non è a casa, ecco dove si trova, e per quanto tempo.

Lasciare la geolocalizzazione attiva sulle foto, e pubblicare immagini i cui metadati danno le coordinate GPS al metro.

Pubblicare i bambini senza pensarci, accumulando nome, volto, luogo e abitudini su un profilo di cui non si è mai verificato il pubblico reale.

Connettersi al Wi-Fi del campeggio per consultare i propri conti bancari, per quel riflesso di relax che fa dimenticare che non lo si sarebbe mai fatto al lavoro.

Prima di partire, e durante

  • N1 Decidere il principio: pubblicare le foto di vacanza al ritorno, non in tempo reale
  • N1 Disattivare la geolocalizzazione delle foto nelle impostazioni del telefono (impostazione unica)
  • N1 Verificare chi vede realmente le proprie pubblicazioni sui social network
  • N1 Decidere in famiglia cosa si pubblica e cosa no riguardo ai bambini
  • N2 Installare e testare un VPN da attivare sulle reti di alloggio
  • N2 Per un soggiorno fuori dall'Europa: prevedere una eSIM dati locale anziché dipendere dal Wi-Fi d'albergo
  • N2 Non accumulare mai nome, luogo e istituto scolastico di un bambino su uno stesso profilo
  • N3 Per i dispositivi professionali: applicare la stessa vigilanza della trasferta di lavoro

Per approfondire

Questo articolo fa parte dell’asse Viaggi. Per la rete non controllata, veda Wi-Fi pubblico: la paranoia ragionevole. Per misurare la propria esposizione, OSINT difensivo. Per la connettività in viaggio, eSIM in viaggio.

Fonti e approfondimenti

Articoli correlati