Cybersecurity e la (buona) abitudine di imparare a chiudere le porte:

Lasceresti mai la macchina parcheggiata con portiera aperta e le chiavi inserite?

Il mondo reale ci ha abituato a prevenire possibili attacchi utilizzando piccole accortezze come chiudere la porta di casa, togliere le chiavi dal cruscotto della macchina ed evitare vicoli troppo bui. Ogni nostra azione quotidiana, volontaria o involontaria che sia, è fatta per proteggerci e lo stesso dovrebbe succedere anche nel mondo virtuale, che poi così virtuale non è. Con l’aumento del lavoro da remoto, complice anche la pandemia e le varie restrizioni, è aumentato il numero di aperture messe a disposizione di chiunque si trovi nelle nostre vicinanze, sia in termini tecnologici, sia in termini ambientali. Gesti che riteniamo essere innocui, come lasciare il PC incustodito anche solo per pochi minuti, comporta quindi gli stessi rischi di lasciare la porta di casa aperta.

Da molti anni si parla di sicurezza informatica, ma solo da qualche tempo le aziende si stanno sensibilizzando sul tema, complice anche la crescita esponenziale degli attacchi. Sul mercato ci sono diverse soluzioni sviluppate con lo scopo di proteggerci, ma spesso ci si preoccupa esclusivamente degli aspetti tecnologici, senza dare peso al vero anello debole: l’utente.

Dati dimostrano che la maggior parte delle violazioni subite dalle aziende è causata dal personale perché non sufficientemente preparato a identificare un attacco. Questa mancanza di sensibilità al rischio fa sì che l’utente diventi involontariamente complice di delinquenti informatici, spesso compiendo banali azioni come aprire un file malevolo o un link ricevuto via e-mail. Ed è proprio questa ingenuità e mancanza di conoscenza che abbassa drasticamente i livelli di difesa aziendali. Da studi effettuati è emerso come quasi metà degli attacchi alle aziende avvenga tramite phishing o social engineering, pratiche mirate a manipolare l’utente per carpire informazioni riservate.

Nel caso di attacchi phishing i cyber criminali inviano e-mail a milioni di destinatari diversi contenenti trojan o link che rimandano a un sito compromesso. La vittima, una volta caduta nella rete, fa scattare un meccanismo di attacco per cui vengono criptati i dati aziendali e messe in atto richieste di riscatto per poterli decriptare.

Un attacco basato sul social engineering, invece, è molto più sofisticato e solitamente prende di mira un’azienda specifica. Per questa tipologia di crimini è essenziale la raccolta d’informazioni, che possono essere fornite direttamente e inconsapevolmente dal personale aziendale, che reagisce a semplici tecniche e domande all’apparenza innocue. Una tecnica molto usata è il “baiting”, ovvero lasciare un’esca. Molto spesso si tratta di una chiavetta USB lasciata in locali comuni aziendali che, raccolta e inserita nel PC, permette al criminale non solo di prenderne il controllo, ma di avere anche accesso a tutta la rete, senza che il dipendente si accorga di nulla. Anche l’uso di pretesti per ricevere informazioni è molto diffuso: l’aggressore inizia stabilendo la fiducia con la propria vittima impersonando colleghi, polizia, funzionari bancari e fiscali o altre persone che hanno l’autorità e il diritto di sapere e pone domande legittime attraverso le quali raccoglie dati personali e aziendali. Queste informazioni permettono poi di accedere direttamente ai dati aziendali o a confezionare e-mail di phishing perfettamente targettizzate e non facilmente identificabili come tali, richiedendo agli utenti di modificare la password, fornendo loro un collegamento che li reindirizza a una pagina web realizzata in modo da sembrare legittima nella quale l’aggressore acquisisce le loro credenziali.

Risulta ora chiaro perché questo genere di attacchi prescinde dagli strumenti di difesa che si possono utilizzare dal punto di vista tecnologico come firewall e antivirus, in quanto vengono principalmente sfruttate le debolezze umane e come tali, diventano più efficaci quanto è più bassa è la loro consapevolezza. Training specifici e conoscenza delle principali tecniche sono elementi fondamentali per aumentare le difese aziendali, perché solo imparando a gestire queste e altre situazioni, si possono ridurre i rischi.

I corsi di awareness organizzati in partnership da DOS Group SA (www.dos-group.com) e OPENPOP SA (www.openpop.eu) sono fondamentali e parte integrante della strategia di difesa da attacchi informatici e non possono essere effettuati online, come invece viene spesso proposto, in quanto la loro efficacia è legata al “se non vedo non credo”. Dimostrazioni pratiche all’interno dell’azienda sono parte della formazione dei dipendenti e della loro sensibilità al rischio. Formazione che, unita a periodici audit di sicurezza, includono anche una serie di attività che esulano dall’ambito strettamente tecnologico e che vanno a testare la capacità di reazione da parte dei dipendenti a tentativi di attacco.