Le lezioni del mese europeo della sicurezza informatica

In merito al mese europeo della sicurezza informatica che si è appena concluso, abbiamo raccolto le osservazioni di Paola Generali, presidente di Assintel – associazione nazionale di riferimento delle imprese ICT e digitali -.

È da poco concluso il mese europeo della sicurezza informatica (ECSM), la campagna annuale dell’Unione europea dedicata alla promozione della sicurezza informatica tra i cittadini e le organizzazioni dell’UE e alla fornitura di informazioni aggiornate sulla cyber security attraverso la sensibilizzazione e la condivisione di buone pratiche. L’iniziativa, per quanto rivolta volutamente a un ampissimo pubblico, fornisce una serie di spunti di riflessione.

Le piccole e medie imprese (PMI), per esempio, sono la spina dorsale della nostra economia, eppure la loro postura di sicurezza è spesso messa sotto la lente d’ingrandimento. In Italia sono il tessuto connettivo di tantissimi settori di commercio, logistica, ecosistemi digitali e supply chain. Ma questo le ha rese sempre di più oggetto delle mire dei Criminal Hacker.

Secondo il 2022 Data Breach Investigations Report di Verizon1, oltre il 76% degli incidenti informatici catturati nello studio faceva riferimento a piccole-medie aziende. Certo, facciamo sicuramente riferimento ad un semplice sample, ma è comunque un indicatore importante della direzione in cui si stanno muovendo i trend del fenomeno Cyber Crime. «Sottovalutare il rischio cyber, anche nelle PMI, potrebbe tradursi in conseguenze gravi; sia dal punto di vista della business continuty sia della reputazione del brand», spiega Pierguido Iezzi, CEO di Swascan, azienda milanese parte del polo cyber di Tinexta Group.

«Nonostante le misure proattive implementabili da un’organizzazione per proteggersi proattivamente dai rischi informatici, non c’è garanzia che non si verifichi un incidente di cybersecurity – continua l’esperto –. Pertanto, una PMI deve sviluppare un framework solido e sicuro, in grado di sopperire anche alle necessità di sicurezza predittiva e preventiva».

LEGGI ANCHE >>> Quelli che, via mail, ti promettono guadagni facili con azioni Amazon: l’avvertimento della Consob

Consapevolezza non solo tecnologia

Ma il rischio non è solo quello di sottovalutare la componente tecnica che si cela dietro un attacco informatico. Infatti gran parte di questi fa leva anche sulla generale mancanza di consapevolezza nelle vittime di queste offensive. Awareness e formazione, dunque, giocano un ruolo chiave anche su questo fronte.

Secondo Paola Generali, Presidente di Assintel: «Le PMI hanno necessità di un Awereness dedicata a loro, ricca di descrizione di casi empirici che si sono verificati in aziende simili a loro, perché solo in questo modo è possibile fare toccare con mano le realtà del Cyber Risk. Come Assintel, lavoreremo insieme al Governo sulla tematica Cybersecurity per le PMI, tematica posta in primo piano dal Presidente Meloni, proponendo progettualità innovative per fare Awereness e successivamente formare le PMI. E’ necessario parallelamente supportare le aziende nella digitalizzazione e nella gestione del Cyber Risk che la medesima comporta».

Allocare budget per la formazione, strumenti o competenze in materia di cyber security rientra fermamente nella gestione del rischio, non è un “extra”. Con un numero sempre crescente di attacchi informatici ogni anno, le lacune in termini di awareness e formazione si pagano sempre più care.

D’altronde, i criminali informatici trovano sempre nuovi modi per aggirare gli strumenti e le tecnologie più recenti. Solo nel 2021, l’85% dei Data Breach ha coinvolto in qualche modo il fattore umano, secondo un altro studio, oltre il 70% dei malware si è diffuso via mail… Il phishing – il metodo con cui vengono consegnate questi virus – non solo è un attacco semplice da eseguire, ma è anche a portata di ricerca su Google. Chiunque sia in grado di accedere al dark web può acquistare un kit di phishing come si farebbe con un libro su Amazon.

I dipendenti si troveranno prima o poi di fronte a un incidente informatico e vorrete che siano preparati a reagire di conseguenza, segnalando le minacce al team IT o di sicurezza. Fortunatamente, la formazione può essere una difesa efficace contro gli attacchi di phishing. Per difendersi dagli attacchi di phishing e di social engineering è necessario sapere con cosa si ha a che fare. Questi possono assumere diverse forme, ma gli attacchi informatici più comuni sono le e-mail di phishing che chiedono nomi utente, password e informazioni di identificazione personale.

«Negli ultimi giorni di ottobre è stata sgominata una banda di criminal Hacker che in soli 12 mesi era riuscita a compromettere 50 milioni di credenziali, molte delle quali appartenenti a nostri connazionali. Il fatto che tra le vittime ci fossero così tanti italiani non deve sorprendere: il nostro Paese è da tempo terreno fertile per i cyber attacchi; tant’è vero che pochi mesi fa Swascan in uno studio sul commercio di credenziali rubate aveva rilevato che le richieste e la vendita dei dati privati, tra cui le credenziali, dei nostri connazionali erano infatti “esplosi” tra giugno e agosto, con un incremento del 357% in soli 3 mesi. Numeri che sottolineano ancora una volta come la formazione sia necessaria per far fronte alle possibili ondate di attacchi», spiega Iezzi.

Questo può sembrare un compito scoraggiante per qualsiasi azienda, figuriamoci per una piccola impresa. La realtà è che il costo opportunità della mancata formazione dei dipendenti è troppo alto per essere ignorato. Secondo IBM, l’anno scorso il costo medio di una violazione dei dati è stato di 4,24 milioni di dollari. Il 38% delle aziende ha perso l’attività a causa di una violazione, il che rappresenta oltre la metà delle perdite finanziarie totali. Formando la vostra forza lavoro a identificare questi attacchi, potete ridurre significativamente il rischio di un incidente o di una violazione della sicurezza. Questo può fare la differenza tra una costosa infezione da ransomware e un messaggio al reparto IT con scritto: “Questa e-mail sembra sospetta, quindi non l’ho aperta”.

«Circa 8 anni fa un’azienda di servizi di Roma, che aveva circa 25 dipendenti, fu colpita da un cryptolocker perché una segretaria che stava navigando su Facebook apri’ tutti i link che le venivano proposti ed uno di questi conteneva per l’appunto un cryptolocker , che cifro’ tutti i computer dell’azienda compresi i backup che erano in rete. L’azienda non aveva la possibilità di pagare il riscatto di 50.000 euro e cerco’ di recuperare i dati in tutti i modi possibili, coinvolgendo esperti di sicurezza informatica, ma non riuscì’ a recuperare nessun file/dati e dopo due mesi chiuse. Questa non e’ una brutta fiaba moderna e’ purtroppo la dura realtà che viviamo. Assintel e’ pronta con tutte le sue aziende esperte in Cyber Risk sia dal punto di vista tecnico che organizzativo a prendere per mano le aziende mettendo a terra una strategia di medio/lungo termine sulla tematica Cyber Risk, raffrontandosi con il Governo sui fondi necessari a supportare le aziende, ed in particolare le PMI ad intraprendere questo importante ed indispensabile percorso», conclude il Presidente di Assintel.