Chi ha bisogno di CyberSecurity?

Chi ha bisogno di CyberSecurity?

“Cosa me ne faccio della cybersecurity?”
Me lo sono sentito dire spesso, dai vari amministratori aziendali. La cybersecurity non è mai tra i capitoli d’investimento delle PMI.
Uno dei motivi è dato dalla percezione della cybersecurity (o Information Security, per i tecnici), che è più o meno questa: “qualche smanettone che fa cose estremamente informatiche per proteggermi da un attacco che a me non capiterà mai / che succede solo nei film” seguita solitamente da “e comunque io non ho nessun dato importante da proteggere”.

Se la tua azienda opera ancora totalmente in cartaceo e non hai neanche un’email, allora probabilmente hai ragione. Ma a questo punto mi chiedo cosa tu ci faccia davanti ad blog a leggere articoli online.

In caso contrario, vorrei portare alcuni esempi concreti per spiegare quando c’è bisogno di fare un’attività di cybersecurity nella propria azienda:

  • Nel tuo settore c’è una forte concorrenza ed hai dei competitor aggressivi;
  • I progetti che realizzi sono il vero valore aggiunto della tua azienda;
  • Hai parecchi collaboratori esterni, non dipendenti dell’azienda;
  • Lavori molto attraverso internet, ad esempio inviando email con ordini, fatture, progetti o parti di essi;
  • Lavori conto terzi, che ti affidando i loro progetti o parti di essi;
  • Hai una rete di vendita con agenti commerciali;
  • Tratti dati personali, amministrativi e fiscali dei tuoi clienti;
  • In azienda hai computer che hanno più di 3 anni;
  • Sei certificato D.Lgs. 231/01;
  • La tua azienda ha più di una sede;
  • Hai degli smartphone aziendali;
  • Nella tua azienda esistono figure come il CPO e/o un CSO;
  • Tratti dati sensibili / sanitari;
  • Hai avuto un caso di “dipendente infedele” che è andata a lavorare per la concorrenza (o ha aperto la sua azienda concorrente);

Se rientri in anche solo uno di questi casi, allora hai bisogno di fare il punto sull’Information Security aziendale.
Se ti stai chiedendo perché, i motivi sono diversi e saremo ben lieti di spiegarveli personalmente. Possiamo però riassumerli con questo adagio noto nel settore:

Secondo le regole di cybersecruity, esistono due tipi di aziende:
1. Quelle che sono state compromesse
2. Quelle che non sanno di esserlo state

Contattaci

Attacco a tre fasi

Attacco a tre fasi

Quando pensiamo ad un’attacco informatico si forma nella nostra mente l’immagine dell’hacker in felpa e cappuccio che col suo PC portatile e sofisticati programmi fa breccia nei nostri sistemi.

Quest’immagine tuttavia è ormai “vintage”. La maggior parte degli attacchi informatici è automatizzata su larga scala: chi colpisce sono software che scansionano le reti e sistemi a tappeto in cerca di vulnerabilità non ancora riparate su tutti i livelli (siti web, switch, router, firewall, server, smartphone, ecc.). Quando trovano la falla la sfruttano per impossessarsi del dispositivo.

Inoltre, gli attacchi un minimo sofisticati (ma sempre su larga scala), sfruttano l’inganno utilizzando tecniche di ingegneria sociale. E’ incredibile il numero elevato di persone che ancora abboccano alle email di phishing: oltre il 30% apre i messaggi ed il 13% apre l’allegato malevolo o il link dannoso (fonte Verizon Data Breach Investigations Report 2016). Sembrano percentuali piccole, ma parliamo di un bacino di oltre 150 milioni di email di phishing inviate al giorno.

Quest’anno si sta diffondendo con estrema regolarità la modalità d’attacco a tre fasi. Come funziona?

Fase 1 – Invio di un’email di phishing. La mail ha un’allegato o un link che porta l’utente a cliccare, passando alla…

Fase 2 – Download del malware sull’PC dell’utente. I software di questo tipo sfruttano spesso vulnerabilità non ancora rilevate. Una volta che il software è installato questo permette la..

Fase 3 – Furto di credenziali per attacchi successivi. L’obbiettivo sono le credenziali salvate nei browser, su file di testo non criptati, nelle email. A quel punto, con le credenziali reali, posso accedere ai sistemi dell’utente.

Può sembrare quasi banale come tipologia, ma la vulnerabilità più grossa non sta nel sistema antispam né nell’antivirus, ma nel fattore umano che permette il successo della fase 1 (permettendo l’installazione del software) e della fase 3 (gestione delle credenziali di accesso).

Questa tecnica ha tempi di esecuzione molto bassi e la possibilità di essere altamente specifica, ad esempio puntando ad una singola azienda od organizzazione, e questo la rende estremamente efficace.

Come difendersi

Saremo ripetitivi, ma la prima e principale fonte di difesa è la formazione personale. Riducendo la percentuale di errore nel fattore umano, possiamo gestire il rischio.
Non è necessario essere tecnici, è sufficiente avere gli elementi per riconoscere la truffa. Basta mezza giornata di formazione per avere le basi necessarie a ridurre il rischio.

 

Contattaci