La minaccia corre sul cavo: ecco come fermare gli hacker

Musica da film horror in sottofondo. Sullo schermo del computer compare una richiesta: “Vuoi aggiornare il sistema operativo?”. L’utente clicca convinto sul “no”. Poi spegne il suo apparecchio, prende il cappotto ed esce dalla porta. È appena stato commesso un omicidio, ma nessuno lo sa. È stata ammazzata la sicurezza aziendale, è stata messa a repentaglio la continuità del lavoro. E tutto per una serie di concause che, insieme, hanno portato al disastro. Ripercorriamole in rapida sequenza.

Un ruolo aziendale per la cybersecurity

Le aziende italiane si proteggono a dovere dal rischio di attacchi (vedremo poi di che tipo) a livello informatico? Nemmeno per sogno. Secondo un’indagine condotta dalla School of Management del Politecnico di Milano solo il 25% delle aziende ha in organico un referente per la sicurezza informatica, mentre il 52% affida le mansioni di difesa all’IT Manager, che nella maggior parte dei casi è semplicemente un webmaster. Quindi: non si riconosce la necessità di un esperto e ci si affida a quello “smanettone” (magari parente) che conosce i computer e che saprà consigliare la soluzione migliore. Niente di più sbagliato. Il consueto report di Kaspersky, una delle aziende leader nella produzione di materiale antivirus, ha sancito che nel primo trimestre del 2017 i ransomware mobile, cioè quelle infezioni che richiedono “riscatti” ai dispositivi come smartphone e tablet, sono più che triplicati. Sono stati censiti 218.625 ransomware. Ovviamente non tutti sono estremamente dannosi, ma il rischio è sempre molto alto. 

Come proteggersi

In primo luogo è bene precisare (anche se dovrebbe essere un’ovvietà), che il banale antivirus non può bastare. Quando si parla di sicurezza aziendale, infatti, non si stanno mettendo in gioco le foto delle vacanze e il filmino della comunione che tutti abbiamo sul nostro computer domestico, ma l’intero capitale dell’azienda, fatto di file, di mail, di documenti importanti che devono essere tutelati ad ogni costo. Così, se ormai l’84% delle aziende (fonte Politecnico) ha una sicurezza a livello di network, solo il 28% ha messo in sicurezza il proprio cloud. E anche in questo caso, visti i recenti casi in cui gli account cloud di personaggi famosi sono stati violati senza particolari difficoltà, viene da chiedersi che cosa possa trattenere un’azienda dal decidere di proteggersi in modo più efficace. 

Chissà quanto mi costa

Partiamo da un assunto: proteggersi costa sicuramente meno che subire un attacco. Secondo un’indagine condotta da Clusit e relativa soltanto alla GDO, in caso di attacco informatico potrà comportare una tempistica lavorativa di oltre 10 giorni, con un costo totale stimato pari a circa lo 0,6% di perdite di profitto da risarcire e una perdita di mercato stimata dello 0,7%. Se ci si sposta al settore delle TLC, invece, un attacco informatico può tradursi in 85 giorni di lavoro per ripristinare la situazione e un costo stimato in circa 55 milioni di euro per perdite di profitto non risarcibili. Altri due dati, però, fanno capire come la cultura aziendale da questo punto di vista sia ancora carente. Ancora una volta ci vengono in soccorso i dati dello studio effettuato dalla School of Management del Politecnico: meno del 25% delle aziende investe più dell’1% del fatturato in ICT, solo il 3% investe oltre il 5%, mentre il 69% investe meno dell’1% e il 7% non ha programmato nell’ultimo anno alcun tipo di investimento. Ancora: nonostante la quasi totalità delle aziende percepisca il rischio di attacchi informatici – e per questo, nell’83%, ha introdotto policy legate alla gestione dei dati e nell’81% policy di gestione e utilizzo dei device aziendali – solo il 4% del campione intervistato dichiara di avere attivato specifiche coperture assicurative sulla sicurezza informatica. Il 58% delle aziende non sta valutando coperture assicurative e il 22% le sta valutando senza averle ancora attivate. 

Solo il 4% degli intervistati dichiara di aver attivato specifiche coperture assicurative sulla sicurezza informatica. Il  58% non ci pensa affatto

Vuoi piangere?

E piangerai…

Si torna così alla scena iniziale di questo articolo: un impiegato ha deciso di non scaricare gli aggiornamenti proposti dal sistema operativo. Perché non ha tempo, perché non ha voglia, perché così facendo si rallenta il lavoro. Qualsiasi sia la motivazione, in questo momento si sta mettendo in atto un comportamento potenzialmente esplosivo: il ransomware WannaCry, che ha recentemente messo in ginocchio molte aziende in tutto il mondo – compreso un blocco all’intero sistema sanitario britannico – , si è diffuso sfruttando una debolezza di Windows che gli aggiornamenti continui proposti dall’azienda di Bill Gates avevano già provveduto a sistemare. Sì, ma se non si aggiorna… Il meccanismo è molto semplice: il virus sfrutta due debolezze, da un lato quelle del sistema operativo, dall’altra quella degli utenti. Infatti, quando Windows (o MacOs o un’azienda produttrice di software come Adobe) fa uscire una nuova “patch”, deve spiegare perché lo sta facendo, dichiarando di fatto qual è la debolezza del suo sistema. Un esperto informatico che legge queste parole sa già dove colpire, provando a mandare in giro una minaccia che può sfruttare le debolezze del sistema operativo e la pigrizia degli utenti che, non aggiornando, lasciano il proprio computer in balia di attacchi potenzialmente esplosivo. Come altri virus di questo tipo, WannaCry chiede un riscatto per decrittare i dati che sono stati resi inaccessibili. Ma con una differenza: mentre i precedenti si accontentavano di una somma di denaro per sbloccare i dispositivi connessi a una stessa rete, con WannaCry si chiede una cifra per ogni singolo computer. Un’azienda con 20 apparecchi dovrà corrispondere circa 6mila euro, ovvero il doppio dello stipendio lordo dell’impiegato pigro. 

Ma tanto, succede a pochi

Un’altra credenza diffusa è che gli attacchi informatici coinvolgano soltanto poche aziende e che siano originate da comportamenti “vietati” da parte dei dipendenti: visitare siti porno o scaricare materiale da dispositivi non sicuri. Niente di più sbagliato. Un recente sondaggio condotto da Trend Micro anche in Italia dimostra che il 79% delle aziende sono state colpite da un attacco informatico “di notevoli dimensioni” negli ultimi mesi, con punte di oltre 25 attacchi per il 9% degli intervistati. La minaccia prevalente è stata il ransomware (un attacco che richiede un riscatto, “ransom”, per decrittare i dati), con l’84% che ha subito questo tipo di infezione, seguito dal phishing (22%) e da altre tipologie di malware (20%).   

Un mercato comunque in crescita

L’Italia è seconda in Europa, preceduta solo dalla Romania, per numero di violazioni informatiche ed è al 35esimo posto nel mondo. Il mercato delle soluzioni di information security – sempre secondo il Politecnico di Milano  – ha raggiunto, nel 2016, i 972 milioni di euro, in crescita del 5% rispetto al 2015. Ma la spesa, per il 74%, si concentra nelle grandi aziende. Per Alessandro Piva, direttore dell’Osservatorio, analizzando i dati «ci si rende conto di come le grandi organizzazioni italiane siano indietro: oltre la metà non ha una figura manageriale codificata per la gestione della sicurezza informatica, evidenziando un gap importante rispetto ad altri Paesi. Inoltre c’è ritardo nella comprensione delle implicazioni dei trend dell’innovazione digitale quali Cloud, IoT, Big Data, Mobile, sulla gestione della sicurezza. Servono quindi modelli di governance più maturi e trasversali, assicurando il corretto mix di competenze per gestire tecnologie sempre più pervasive. Ed è necessario da una parte progettare sistemi in grado di predire i possibili attacchi, dall’altra sviluppare programmi per sensibilizzare gli utenti e promuovere comportamenti responsabili». 

A livello mondiale, il settore della cybersecurity vale circa 75 miliardi di euro, un filone con forti opportunità di business

Un aiuto dalle istituzioni

Recentemente il governo ha varato il cosiddetto Dpcm Gentiloni, che si pone come obiettivo un partenariato tra pubblico e privato per incrementare la competenza e la conoscenza della cyber security. Perché incrementare la cultura informatica in materia di sicurezza, è uno dei principali obiettivi del nuovo millennio, in cui gli “attacchi” si manifestano sempre più sotto forma di intrusioni informatiche che mettono a rischio la sicurezza (reale e non virtuale) di interi paesi. Per Gabriele Giacoma, Ceo di Assiteca – il più grande broker di assicurazioni italiano, quotato all’Aim, che a settembre ha avviato Assiteca Sicurezza Informatica, per una migliore e più efficiente gestione dei rischi aziendali inerenti l’Information Technology – «i cambiamenti di mercato e della supply chain delle aziende, che sempre più spesso si interfacciano con un’ampia base di fornitori, e l’innovazione tecnologia fanno sì che la gestione del rischio debba necessariamente essere focalizzata sulla prevenzione, in modo che si possa trasferire al mercato assicurativo il solo rischio residuo». Troppo spesso, invece pare che gran parte degli imprenditori italiani si affidino al mitico “stellone”. Evitando di considerare la  centralità del Business Continuity Management, ovvero quel processo che comprende risorse, organizzazione, piani e azioni in grado di fornire valide alternative operative per lo svolgimento di quelle attività la cui interruzione potrebbe seriamente danneggiare l’organizzazione.

Un’opportunità per le startup

A livello mondiale la cyber security vale circa 75 miliardi di euro, offrendo opportunità di business anche per le aziende italiane. Luiss Enlabs, l’acceleratore di impresa dell’università romana, ha lanciato un programma che consente alle startup italiane di trovare nuove sinergie imprenditoriali. è il Security Challenge che, sostenuto da Cisco Systems, ha l’obiettivo di sviluppare startup ad alto potenziale che possano risolvere le sfide della sicurezza informatica globale.

I 10 ERRORI CHE POSSONO BLOCCARE L’AZIENDA

  1. SOTTOVALUTARE IL PROBLEMA: l’Italia è al secondo posto in Europa per numero di infezioni informatiche. Secondo analisi recenti il 79% delle aziende del nostro paese sono state colpite almeno una volta da un attacco informatico di “notevoli dimensioni”.
  2. VOLER RISPARMIARE: è vero, proteggersi costa. Ma costa molto di più non farlo. Basti pensare è stato calcolato che nella GDO un attacco informatico vale lo 0,6% di perdite di profitto e uno 0,7% di perdita di mercato. Nelle tlc va anche peggio: servono oltre 85 giorni per sistemare il disastro, con un costo stimato di 55 milioni di euro.
  3. NONO HSARE GLI STRUMENTI ADEGUATI: naturalmente è necessario installare su tutta la rete aziendale un antivirus efficace. Ma non basta: oggi i dati passano anche attraverso il cloud, per esempio, un meccanismo di archiviazione comodo ma facile da “crackare”. Vorrete mica farvi trovare impreparati.
  4. NON AVERE LE PERSONE GIUSTE: non basta avere un webmaster che si intenda un po’ di computer. Per proteggere la propria azienda servono, necessariamente, apposite figure professionali capaci anche di risolvere le situazioni più complicate. Ma solo il 25% delle aziende ha in organico un referente per la sicurezza informatica.
  5. NON ASSICURARSI: attualmente solo il 4% delle aziende ha una copertura assicurativa che le tuteli in caso di attacco informatico, mentre l’80% si trova nel limbo di coloro che stanno ancora valutando o che hanno deciso di non assicurarsi.
  6. NON FARE GLI AGGIORNAMENTI: sembra una banalità, ma tutti gli aggiornamenti rilasciati dai sistemi operativi e dai software devono essere installati quanto prima. Perché vanno a coprire delle falle che malintenzionati sono in grado di aggirare facilmente. Il ransomware WannaCry, che ha paralizzato buona parte del mondo all’inizio di maggio, si è propagato così.
  7. NON INVESTIRE NELL’INFRASTRUTTURA DI RETE: anche in questo caso, chi più spende meno spende. Un’indagine della School of Management del Politecnico mostra che il 69% delle aziende hanno investito nell’ultimo anno meno dell’1% del fatturato in ICT, mentre il 7% ha deciso di non investire nemmeno un euro.
  8. NON CONOSCERE IL PROBLEMA: è necessario che le imprese inizino a creare una cultura interna sulla necessità di proteggersi dalle infezioni informatiche. Sono il nuovo spettro che aleggia sulle aziende, ma in pochi se ne rendono conto.
  9. SENTIRSI ABBANDONATI DALLE ISTITUZIONI: il governo italiano ha varato un apposito Dpcm per incrementare la conoscenza della cyber security. Segno evidente che perfino la politica ha compreso quanto sia seria la situazione.
  10. NON PROVARE A FARE IMPRESA CON LA CYBERSECURITY:
  11. il mercato mondiale ammonta a circa 75 miliardi di dollari e Luiss Enlabs, acceleratore d’impresa dell’università romana, ha varato un programma per aiutare le startup innovative a entrare nella partita.