Una cosa è certa quando si parla di Cyber Security: nessuno è al sicuro. Ma questo non significa che non ci sia nulla da fare, non è rassegnazione, ma stimolo per intraprendere l’unica strada percorribile, quella della prevenzione.
“Conosci il nemico come conosci te stesso. Se fari così, anche in mezzo a cento battaglie non ti troverai mai in pericolo”. Questa citazione del trattato di strategia militare L’Arte della Guerra appare oggi quanto mai attuale anche in ambito cyber. Conoscere la propria infrastruttura digitale e le metodologie di attacco dei cyber criminali è infatti l’unico modo per prevenire violazioni e contenere i danni in caso di attacco portato a termine con successo. Secondo un recente studio di Cisco 2018 oltre il 60% degli attacchi ad aziende italiane ha causato danni superiori a 80 mila euro! Inoltre con l’entrata in vigore del GDPR le multe per un eventuale data breach possono arrivare al 4% del fatturato! Costi che, per una PMI, sempre più bersaglio di attacchi informatici, non sono indifferenti.
Tuttavia, nonostante il susseguirsi di allerte da parte degli esperti e l’adeguamento delle normative nazionali, sembra che le aziende in generale tendano a minimizzare i rischi e ad avere poca consapevolezza della facilità con la quale possono rimanere vittime di una violazione informatica. Troppo spesso il successo di un attacco è conseguenza diretta di una inconsapevole collaborazione da parte del personale dipendente o dei collaboratori.
Inconsapevole perché non hanno particolari competenze in ambito IT benché il loro lavoro quotidiano si svolga utilizzando strumenti informatici, inclusi dispositivi mobili. Non sanno riconoscere un link sospetto o un allegato eseguibile. Ecco allora che una e-mail, aperta per sbaglio o senza particolare attenzione, può aprire le porte dell’infrastruttura informatica aziendale all’attaccante di turno. Ma anche le chiavette USB possono veicolare un attacco, così come i dispositivi mobili. Mettere gli utenti in condizione di riconoscere e-mail sospette e metodologie di attacco, sviluppare una security awareness nell’ambiente di lavoro è senza dubbio il primo passo per contenere i rischi cyber.
Le tecniche più utilizzate sono sempre le stesse da anni, seppur più evolute: il phishing e la social engineering. La prima è probabilmente anche la più conosciuta e consiste nell’inviare una e-mail fasulla con un link ad un falso sito nel quale inserire credenziali che vengono così copiate dai malintenzionati. Negli anni i cyber criminali hanno affinato la tecnica creando siti sempre più simili all’originale per trarre in inganno gli utenti, facendo leva su problemi critici in genere legati alla sicurezza (aggiornamento password etc) e raggiungendo anche i social network, con la creazione di finte pagine per attrarre gli utenti.
Lo spear phishing è una tecnica particolare il cui obiettivo è un’organizzazione particolare o un utente particolare, con lo scopo di sottrarre informazioni riservate. Attraverso la social engineering i malintenzionati riescono ad entrare in possesso di informazioni mirate ed attendibili per ingannare l’utente rendendo il più possibile credibile l’attacco. Da qui la difficoltà di utenti poco preparati ad individuare campanelli d’allarme.
Le previsioni degli esperti vedono le PMI sempre più esposte, ma la criticità che emerge è che gli attacchi diretti a grandi aziende vengono sempre più spesso perpetrati sfruttando le vulnerabilità di piccole e medie aziende con loro connesse, in qualità ad esempio di fornitori. Con meno budget a disposizione da destinare alla cyber security diventano l’obiettivo preferito dei cyber criminali con gravi conseguenze dirette ed indirette. Eppure il costo di un data breach è stato stimato in 119 euro per singolo record, per un totale di 2,6 milioni di euro l’anno. Senza tenere conto delle sanzioni previste dall’attuale normativa GDPR…
