X
Naviga
Venerdì, 22 Novembre 2024

Il network di riferimento per le aziende italiane

Ottobre, mese europeo della Cyber-Security. Quali pericoli e quali soluzioni per le aziende?

Il 27% delle risorse totali del PNRR sono destinate alla transizione digitale: già solo questa cifra dà una chiara immagine di quanto importante sia l’evoluzione in chiave digitale delle attività produttive, dei servizi e della pubblica amministrazione. Un aspetto fondante del processo di digitalizzazione è la sicurezza informatica.

 

Un concetto rimarcato anche dall’European Cyber Security Month (ECSM), una campagna promossa dall’ENISA (European Union Agency for Cybersecurity) che ad Ottobre 2022  giunge alla sua decima edizione, il cui scopo è sensibilizzare cittadini e imprese sull’importanza della sicurezza informatica e diffondere informazioni aggiornate e corrette sulle best practices da adottare.

 

Un impulso notevole alla digitalizzazione delle imprese è stato dato, com’è ormai ben noto, dalla pandemia, che ha costretto molte aziende a spostare – a volte temporaneamente, a volte in modo più profondo – le proprie attività dal “reale” al “virtuale”; lo stesso vale per le pubbliche amministrazioni, che per molti mesi hanno erogato i propri servizi in modalità per lo più digitali. La centralità, nell’ambito del PNRR, della digitalizzazione e della transizione 4.0 ha ulteriormente puntato i riflettori sulla necessità di accelerare il processo di modernizzazione e adeguamento delle infrastrutture tecnologiche del Paese.

 

Il 17 Maggio 2022 il governo ha approvato la “Strategia Nazionale di Cybersicurezza 2022-2026”, importante documento strutturato in 85 punti che traccia la linea da seguire nel breve e medio termine. Fra le altre cose, la misura stanza nell’ordine dell’1,2% gli investimenti nazionali lordi destinati a progetti specifici di sicurezza informatica finalizzati a raggiungere l’autonomia tecnologica in ambito digitale, all’ulteriore innalzamento dei livelli di cybersicurezza dei sistemi informativi nazionali, all’implementazione di sistemi di crittografia lungo l’intero ciclo di vita dei servizi ICT. Previsti anche sgravi fiscali per le imprese private e l’introduzione di aree nazionali a tassazione agevolata.

 

Tanta attenzione al cyber-spazio è dovuta al fatto che esso, oltre a costituire un mondo di straordinarie opportunità per le imprese, può rappresentare anche un fianco scoperto per quelle aziende non sufficientemente attente alla sicurezza dei propri dati, non sufficientemente preparate ad affrontare eventuali attacchi informatici. L’interconnessione ha un rovescio della medaglia: apre più strade alle minacce informatiche.

 

È soprattutto importante comprendere, per le aziende, che i rischi informatici non si limitano al furto di dati e alla compromissione della privacy – eventi già di per sé gravi – ma, attraverso le forme di malware più avanzate, possono coinvolgere anche i processi produttivi, causando rallentamenti o addirittura il blocco delle attività.

 

 

 

Prevenire è meglio che curare

 

Alcune imprese commettono un errore che può portare a gravi conseguenze: preoccuparsi della sicurezza informatica solo quando l’intrusione è già avvenuta. Proteggere un’infrastruttura digitale richiede investimenti sia in termini economici che di tempo, e questo può portare a procrastinare interventi che invece dovrebbero essere alla base delle attività di un’azienda. Per di più, nella maggior parte dei casi si tratta di minacce che gli esperti di informatica ben conoscono e contro le quali esistono precise contromisure. Basta metterle in atto.

Le aziende sono custodi di un patrimonio di informazioni di grande valore. A volte balzano agli onori delle cronache alcuni casi eclatanti di attacchi informatici perpetrati ai danni di multinazionali, di grandi colossi dell’industria; un mondo che – a torto o a ragione – alcuni piccoli e medi imprenditori possono avvertire come lontano dalla propria realtà quotidiana. «In fondo, cosa potrebbero mai volere da me gli hacker?»

 

Lo spionaggio industriale, però, rappresenta solo una delle tante sfaccettature del cyber-crime. Alcuni attacchi informatici possono essere mirati e attentamente studiati per colpire aziende specifiche, ma una buona fetta del crimine informatico si gioca oggi sui grandi numeri, sulla diffusione massiva di “esche” nella speranza che qualcuno, da qualche parte, abbocchi. Ci sono mezzi di difesa contro questo tipo di attacchi, ma ancor prima delle soluzioni software, la prima barriera di protezione è data dal fattore umano.

 

 

 

Sicurezza informatica: una questione di tecnologia, ma anche di persone

 

Un imprenditore o un dipendente riceve una email che sembra provenire dalla banca di riferimento dell’azienda. Parla di problemi al conto corrente che richiedono l’accesso ai servizi online. Un click sul link in fondo all’email conduce ad un sito che, di primo acchito, sembra proprio quello dell’istituto bancario. Nella fretta e nell’ansia di voler capire cos’è successo al conto corrente, l’utente inserisce i dati: il danno è fatto, i dettagli del conto sono ora nelle mani dei cyber-criminali.

 

Se il caso descritto sembra un’eventualità remota, in cui nessuno con po’ di conoscenza del mondo del web potrebbe mai cascare… non è proprio così. O meglio, poteva esserlo alcuni anni fa, quando le email di phishing – termine tecnico che definisce questo tipo di furto di informazioni – apparivano effettivamente spartane, poco professionali, spesso scritte in modo impreciso quando non del tutto linguisticamente scorretto. Oggi non è più così: si tratta, ora, di truffe congegnate in modo più accurato, che possono trarre in inganno anche utenti di una certa esperienza e che possono celare organizzazioni criminali meglio strutturate rispetto a qualche tempo fa. Le email si presentano in modo “professionale”, sono ben scritte e hanno un aspetto grafico che spesso riproduce in modo verosimile il design delle reali email degli istituti bancari o altri fornitori di servizi; le pagine di atterraggio dei link-truffa, allo stesso modo, sono sufficientemente ben sviluppate da trarre in inganno almeno qualcuno.

 

“Almeno qualcuno”: ecco il concetto chiave. Di email di questo tipo ne vengono spedite milioni ogni giorno. Chi le spedisce, nella maggior parte dei casi non ha una chiara idea di chi siano i destinatari o se essi abbiano effettivamente un conto corrente o un contratto con la banca o con il fornitore di servizi che stanno cercando di impersonare; i criminali contano sul fatto che qualcuno, prima o poi, cliccherà sui loro link e si lascerà ingannare. E purtroppo, i numeri danno loro ragione: una ricerca condotta nel 2021 dalla IBM riporta che, nell’86% aziende, almeno una persona ha cliccato su di un link di phishing. Un numero molto rilevante, specialmente se teniamo conto che questo tipo di truffa rappresenta il 90% dei furti di dati.

 

Un’altra forma di cyber-attacco particolarmente insidiosa per le aziende (ma non solo) è il ransomware (ransom = riscatto), una forma di malware che crittografa i files dell’utente e li rende inaccessibili. L’unica via di uscita che viene fornita dai criminali è versare un riscatto in denaro per riavere i propri dati – cosa che, per di più, non sempre avviene. Le modalità di diffusione dei ransomware non sono dissimili dai tentativi di phishing: anche qui, spesso si tratta di link infetti fatti circolare via email o allegati. Con l’aggravante che, a volte, per infettare la propria macchina è sufficiente aprire il sito sbagliato, senza neanche bisogno di inserire volontariamente alcun dato: i download “drive-by” avvengono di nascosto, all’insaputa dell’utente e installano il virus.

 

C’è un comune denominatore per i due esempi sopra descritti: la causa può essere l’errore umano. È sufficiente una distrazione, una leggerezza di pochi istanti per causare un danno che, specialmente per un’impresa, può tradursi in un notevole dispendio di soldi e tempo. È per questo che è molto importante, almeno quanto le soluzioni tecnologiche, la formazione specifica del personale di un’azienda a riconoscere i pericoli e non caderne vittima.

 

 

 

Da dove iniziare?

 

Sebbene ci siano alcune norme basilari che è sempre bene mettere in atto (installare un antivirus, un firewall, un filtro anti-spam per le email, effettuare frequenti backup…), la sicurezza informatica in un’azienda non può essere improvvisata e non può essere presa sottogamba. È importante affidarsi a professionisti specializzati che effettuino un check-up dell’infrastruttura tecnologica, ne individuino le falle, valutino i rischi per poi personalizzare l’intervento e mettere in sicurezza i dati e i processi di un’impresa.

 

Ogni azienda ha le sue peculiarità, ma ci sono alcuni step abbastanza universali ben riassunti nel NIST Cybersecurity Framework, ossia il compendio delle linee guida sulla sicurezza informatica sviluppato dal National Institute of Standards and Technology (divisione dell’United States Department of Commerce). Si tratta di una metodologia di approccio articolata e ricca di dettagli, ma i suoi cinque “pilastri” sono questi.

 

 

In sintesi, per gestire la sicurezza informatica in contesti complessi e strutturati come quelli aziendali è necessario un approccio metodico, organizzato, consapevole – al punto che molte realtà, specialmente le più strutturate, stanno dotandosi di una figura specializzata che si occupi di manutenere e aggiornare l’ecosistema informatico dell’impresa.

 

Lo testimoniano anche i numeri riportati dall’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, che attestano per il 2021 una crescita del 13% del mercato della cyber-security (per un valore di 1,55 miliardi totali), nonché un 46% di imprese che ha integrato una manager specifico per la sicurezza informatica e un 60% che ha incrementato gli investimenti ad essa dedicati.

 

È sintomo di un cambiamento in atto, anche culturale: il mondo dell’imprenditoria ha recepito la portata della trasformazione digitale e sta rispondendo – seppur con gradualità –  nel modo giusto.

Privacy Policy