Per un istante pensate a ciò che, in questo momento, si trova nei vostri dispositivi aziendali. Parlo, essenzialmente, di computer, smartphone e tablet.
Oltre ai vostri dati personali, come minimo c’è una certa dotazione di modulistica, contratti, email con contrattazioni e budget, presentazioni, schede di prodotti e progetti sui quali la vostra azienda sta magari lavorando da anni, nella segretezza più assoluta.
Nel mio lavoro di consulente in informatica forense e sicurezza digitale mi imbatto spesso in problemi che riguardano proprio questo tipo di dati. Quali problemi? Alla meno peggio vengono sottratti, ma in molti casi si arriva alla manipolazione, che se possibile ha conseguenze addirittura peggiori. Il vero problema, però, arriva nel momento in cui ci si accorge del misfatto: è troppo tardi. A quel punto, si cerca di risalire a chi ha compiuto il reato, ma capite bene che, anche con un’azione legale non si recupera quasi mai da danni di questo tipo.
Provateci, dico sul serio: immaginate che, in questo preciso momento, qualcuno sottragga i dati che si trovano nel vostro computer.
Tutti, o comunque quelli più sensibili che potrebbero fare gola a un criminale informatico o a un concorrente molto aggressivo.
Cosa succederebbe? Mentre ci pensate, non fate troppo affidamento a chi cura la sicurezza informatica dei vostri sistemi. Non perché non si tratti di professionisti preparati, intendiamoci, ma perché, per quanto proteggiate i vostri dati, il bersaglio primario di un criminale informatico siete proprio voi. Spesso si crede che un attacco informatico verso un’azienda si espleti come nei film. Un nerd, di fronte al suo computer, digita una lunga serie di istruzioni e, come per magia, tempo mezz’ora, ha il pieno accesso al computer della vittima.
Sappiate che questo non succede più, o è rarissimo. Per un criminale informatico, infatti, è molto più semplice inviarvi un’email appetitosa, invogliarvi ad aprire un file che si trova in allegato e, mentre voi vi gustate una golosa, quanto finta, proposta d’investimento, lui sta già gironzolando tra i vostri dati. Già, basta un clic, a un file o a un link, per far sì che nel vostro computer s’installi un software malevolo, detto per questo malware, che crea un filo diretto tra il vostro computer e quello del criminale. A quel punto, il vostro computer si configura alla stregua di un disco esterno, o una chiavetta Usb, collegata a quello del truffatore.
Perché lui può, letteralmente, copiare, cancellare, modificare e aggiungere qualsiasi tipo di file nel nostro sistema.
Un attacco su tre va a buon fine
Immagino che stiate pensando che la sto facendo troppo facile e che, dopotutto, parliamo di statistiche e non è detto che possa capitare a voi. Una ricerca di Accenture racconta che, nel 2016, un attacco su tre ha portato a un esito positivo (per il criminale). Significa che, se mi state leggendo in tre, uno di voi ha subito una violazione nel sistema informatico aziendale. Nessuno di voi tre è stato colpito, mi dite?
Qui ci viene in aiuto un altro studio, questa volta del EY Global Information Security Survey. Il 63% delle aziende non notifica un attacco ai propri clienti. Significa che, anche sapendolo, magari non lo direste ai vostri clienti, ma significa anche che chi si occupa di sicurezza nelle aziende non ammetterà mai, molto volentieri, ai suoi superiori, di non aver protetto a sufficienza i sistemi.
Il punto è che la politica dell’infallibilità, nel campo della sicurezza informatica, non giova a nessuno. Perché non esiste, al mondo, un sistema informatico inviolabile.
Quindi tanto vale ammetterlo e prepararsi al peggio: il 42% delle imprese non ha piani in caso di attacco informatico. E, su tutto, regnano credenze popolari e ignoranza digitale. Molti, per esempio, sostengono che avere un Mac li protegge dalle minacce informatiche.
Sapete qual è il software che, nel 2015, ha vinto il primato per numero di “vulnerabilità”, cioè punti attaccabili da criminali informatici? Mac OS, il sistema operativo dei Mac. Con l’aggravante che proprio l’utente Mac, credendo di essere immune a questi problemi, tende a non proteggersi.
Cosa che un utente Windows impara a fare fin dalla più tenera età, complice la credenza che il suo sistema operativo sia più vulnerabile.
Quando le maldicenze aiutano a salvarsi, verrebbe da dire.
Le regole base per difendersi
Si tratta di un esempio spiccio, ma che dà una dimensione di un problema che non sfiora nemmeno gli aspetti tecnici. La prima linea di difesa, nei confronti di attacchi informatici alle aziende, è l’educazione a poche, semplici, regole di
utilizzo intelligente e sicuro degli strumenti digitali. Per esempio, scegliere una password davvero sicura. Imparare a distinguere un link truffaldino da uno genuino.
Imparare a guardare meglio un’email per accorgerci che, anche se il mittente è conosciuto, in realtà non proviene proprio dal suo indirizzo. Imparare a distinguere una pagina web clonata da una autentica.
Non pensatele come nozioni da specialisti: si tratta di conoscenze che devono essere considerate, ormai, il corredo di base prima di mettersi anche solo davanti al computer di un’azienda.
Vuoi approfondire questi temi? Iscriviti al workshop del Cfmt, Centro di formazione management del terziario Pericoli digitali e minacce informatiche
Milano, 23 maggio 2017 – Cfmt Sala Teatro, 9-13
Bologna, 13 giugno 2017 – Cfmt Hotel NH Bologna De La Gare, 9-13
In questo workshop, tutto il necessario per mettersi al riparo dalle minacce informatiche, anche senza alcuna competenza in materia: case history, esperti internazionali, tendenze e tanti suggerimenti, per affrontare tutti i pericoli del crimine digitale rivolto alle aziende.
Per iscriversi: www.cfmt.it
Per informazioni: rcorradini@cfmt.it
