Errori da non commettere per evitare attacchi informatici
Quello che i cybercriminali non vogliono che tu sappia
Oggi gli attacchi informatici fanno parte della “nuova normalità” del XXI secolo. Non c’è giorno in cui i mezzi d’informazione non parlino di aziende ricattate e con i computer fermi, di dati sensibili sottratti e rivenduti al mercato nero, di furti di identità, di spionaggio industriale e di assalti digitali alle infrastrutture di intere nazioni.
La situazione si è andata aggravandosi ulteriormente in concomitanza con la pandemia, che ha improvvisamente costretto moltissime aziende ad attivare modalità di telelavoro (il famoso smart working) senza che vi fosse il tempo e il modo di farlo garantendo livelli di protezione adeguati. Il CLUSIT, l’associazione che riunisce le aziende italiane operanti nel settore della sicurezza informatica, parla infatti di uno “…spettacolare incremento degli attacchi informatici, sia a livello quantitativo che qualitativo (per la gravità del loro impatto)”.
La stessa associazione riporta i dati relativi agli attacchi rilevati sul nostro territorio nazionale dal Security Operations Center (SOC) di Fastweb, che nel periodo 1° gennaio – 31 agosto del 2021 ha registrato ben 36 milioni di eventi malevoli, quasi il triplo (+180%) rispetto allo stesso periodo dell’anno precedente. Un’ondata di attacchi generata in particolare dai ransomware, quegli esemplari di malware che bloccano le attività delle aziende crittografandone i dati per renderli indisponibili fino al pagamento di un riscatto. Ebbene, nel periodo in esame è stato osservato un incremento del 350% in questo tipo di fenomeno.
Prova a immaginare cosa significherebbe dover fermare la tua attività perché tutti i dati dei tuoi PC e dei tuoi server sono diventati di colpo inaccessibili. “Ma io ho i backup”, dirai. Ottimo, peccato che il ransomware colpisca tutto ciò che è collegato a una rete, il che comprende buona parte dei sistemi attualmente utilizzati nelle PMI per il backup dei dati. Quindi: produzione bloccata, dipendenti inattivi, consegne che slittano, scadenze fiscali non rispettate, penali che si accumulano e clienti spazientiti che se ne vanno dai tuoi concorrenti.
“Ma allora io pago il riscatto”. Buona fortuna: su 20 aziende che lo fanno, una non riesce comunque a tornare in possesso dei dati, senza considerare il fatto che i cybercriminali sono ormai soliti rivendere al miglior offerente i dati esfiltrati (ovvero sottratti) alle loro vittime in occasione di attacchi ransomware anche quando il riscatto viene pagato. Pensa a quante informazioni sensibili possiedi: progetti, preventivi, email, codice software, licenze, dati bancari, dati contabili tuoi, dei tuoi clienti e dei tuoi fornitori. Un bottino che fa indubbiamente gola a molti.
Anche senza bisogno del ransomware, esistono infinite modalità con cui i malintenzionati riescono a impossessarsi di questo patrimonio informativo. Qualcuno ha definito i dati come “l’oro nero della nostra epoca”, quindi non stupiamoci se a caccia del valore che essi rappresentano si è creata una vera e propria industria del crimine. Il conto dei relativi danni è assai salato: uno studio commissionato da IBM ha quantificato in 2,9 milioni di euro il costo medio sostenuto dalle aziende italiane per un episodio di violazione. Il furto o la perdita di un singolo dato ha invece un costo di 125 euro.
Da sottolineare inoltre come le tempistiche in gioco siano estremamente sfavorevoli alle vittime: in Italia occorrono infatti mediamente 229 giorni per riuscire a identificare un’avvenuta violazione, più altri 80 giorni per contenerla. Sono ben dieci mesi di totale esposizione ai cybercriminali, e non sorprende quindi che metà delle aziende che subiscono perdite di dati finisca col chiudere i battenti.
Certo, una situazione del genere è frutto di una costante evoluzione delle capacità tecniche di un numero sempre più grande di bande cybercriminali; ma è anche favorita dai comportamenti disattenti delle potenziali vittime (cioè tutti noi). Per questo è importante saper prendere le giuste contromisure e tenere atteggiamenti corretti quando si lavora con strumenti digitali (non solo il PC, ma anche telefonini, tablet e qualsiasi altro dispositivo “smart” collegato in rete). Puoi iniziare evitando di cadere in alcuni errori molto diffusi come quelli che seguono.
Pensare di essere immuni agli attacchi informatici
Ebbene, facciamo subito chiarezza su questo punto: il cybercrimine scaturisce in buona parte da attività automatizzate. Ci sono programmi che rastrellano Internet alla ricerca di sistemi vulnerabili, non importa a chi appartengano – grandi aziende, singoli professionisti, studenti, pensionati… tutto torna utile, magari anche solo come passaggio intermedio per lanciare attacchi mirati contro strutture più grandi e remunerative.
Le statistiche dimostrano che tra gli obiettivi degli attacchi informatici non esiste una prevalenza collegata alle dimensioni. Va oltretutto ricordato come le grandi realtà siano solitamente meglio attrezzate per difendersi da tentativi di intrusione, il che lascia spesso le piccole aziende a rivestire lo spiacevole ruolo di bersaglio più facile e meno faticoso: il famoso anello debole di cui tu non vuoi essere certamente parte.
A volte il senso di immunità subentra invece dopo aver subìto un attacco, nella convinzione che i malintenzionati non torneranno una seconda volta avendo già ottenuto quel che si prefiggevano. Anche qui la percezione è del tutto sbagliata perché ognuna delle numerose bande cybercriminali esistenti opera in totale autonomia e quindi non ha modo di sapere se un’azienda sia già stata colpita in passato o meno. Anzi, non è raro il caso in cui la stessa vittima venga colpita contemporaneamente da bande differenti sfruttando vulnerabilità diverse e puntando magari a obiettivi diversi (furto di dati, ransomware, inserimento dei sistemi violati in una botnet ecc.).
Di segno opposto, ma comunque sempre da evitare, la falsa sensazione di sicurezza che porta a dimenticarsi dei possibili pericoli dopo aver implementato una qualche soluzione di protezione. Come detto, gli attaccanti continuano a perfezionare i loro metodi, trovano nuovi punti deboli, sfruttano le caratteristiche delle nuove tecnologie e si ingegnano ad architettare sistemi truffaldini inediti. Per questo non puoi sederti sugli allori: per quanto possa essere efficiente la tua difesa attuale, non puoi smettere di tenerla aggiornata ricordando che, nel caso di importanti cambiamenti nello scenario cybercriminale, potrebbe anche essere opportuno sostituirla con sistemi differenti, più moderni e specifici.
Quindi, se anche tu hai la sensazione di essere immune, vuol dire che non stai dedicando il giusto grado di attenzione a un elemento critico per il buon funzionamento della tua attività.
Pensare che gli attacchi informatici arrivino solo dall’esterno
La parola a cui devi fare attenzione qui è “maggioranza”. Significa che una parte degli attacchi, in realtà non trascurabile, proviene dall’interno dell’azienda stessa: ci sono stime che quantificano il fenomeno nel 22% del totale. Ti sorprende? Non credere però che la cosa non ti possa riguardare solo perché i tuoi dipendenti e collaboratori sono tutte persone fidate – o magari inesperte di questioni informatiche e quindi incapaci di attività malevole in quest’ambito. Le cause degli attacchi interni, infatti, sono in genere due:
- Negligenza e disattenzione. È la fonte principale dei guai che nascono dentro le aziende stesse. È sufficiente aprire un messaggio email contenente codice dannoso, visitare un sito Web infetto, installare un’applicazione scaricata chissà dove, persino inserire una chiavetta USB trovata per strada o arrivata con la posta ordinaria. Anche comunicare informazioni sensibili per telefono o posta elettronica a sconosciuti che si spacciano per colleghi, fornitori, funzionari di banca od operatori telefonici è una buona strada per crearsi problemi senza bisogno di attribuirne la responsabilità a vulnerabilità tecnologiche.
- Dipendenti scontenti o disonesti. Le casistiche di questo genere sono fortunatamente più rare, ma non per questo meno gravi e potenzialmente onerose. Le cronache parlano spesso di casi di persone che approfittano della propria posizione all’interno di un’azienda per sottrarre dati o denaro sfruttando la conoscenza di sistemi informativi e procedure, così come non è raro imbattersi in vendette a seguito di una mancata promozione, di un trasferimento indesiderato o di un licenziamento.
Puoi evitare o comunque minimizzare il rischio di trovarti in situazioni del genere aumentando il grado di consapevolezza dei tuoi utenti e applicando processi e controlli capaci di tracciare e segnalare eventuali comportamenti sospetti.
Non fare formazione del personale
Molte truffe informatiche sono estremamente ben congegnate e non sempre un pericolo appare così evidente come si pensa. Nella concitazione di una normale giornata lavorativa può capitare di fare click su un messaggio di phishing o lanciare un malware contenuto in un allegato. Ignorare un sedicente principe nigeriano che smania per trasferire milioni di dollari sul tuo conto è facile, un po’ meno capire che la mail di giacenza inviata da un corriere da cui ti servi normalmente è un tentativo di infilare un ransomware nella tua rete. La contromisura consigliata, in questo caso, è riuscire a far sviluppare nel personale un sano senso di diffidenza e di attenzione in tutto quel che si fa al computer (e non solo); l’avversario è quella sorta di compiacente pigrizia mentale che nasce dall’abitudine della routine e dal disinteresse.
In certe aziende è diffusa la convinzione che dedicare tempo e denaro a programmi di formazione, sensibilizzazione e training sia un costo tutto sommato evitabile. In realtà si tratta di un investimento che, se sviluppato con i giusti partner, è in grado di generare risultati anche al di fuori dell’ambito strettamente IT. Un dipendente che lavora con accortezza, riflettendo sulle proprie azioni e restando consapevole di quello che fa – sia individualmente che come parte integrante di un team – saprà dare un contributo certamente più efficace all’attività complessiva dell’azienda.
Ricordati che sono le persone, non i sistemi, a costituire la prima linea di difesa del tuo business. Non lesinare sugli strumenti che possono aiutarle ad aiutarti.
Lasciare che tutti gli utenti siano onnipotenti
Ed è per questo che il livello di accesso con i privilegi più elevati viene riservato a tecnici esperti che sanno quel che fanno, seguendo procedure ben stabilite per evitare potenziali errori e intoppi.
Per il normale utilizzo di un PC, invece, le autorizzazioni possono – anzi, dovrebbero – essere circoscritte a una sfera più limitata. Quindi: nessuna possibilità di andare a mettere le mani nelle cartelle di sistema o in quelle di altri utenti, né di modificare le configurazioni della macchina, né tantomeno di installare nuove applicazioni.
Una scelta che, peraltro, consente di lavorare con maggior tranquillità sapendo che, alla peggio, più di una certa quantità di danni non sarà mai possibile fare. Tant’è vero che le buone pratiche suggeriscono la creazione di un account utente a basso livello di privilegi, pure per tutti quegli amministratori che su una determinata macchina svolgono normale lavoro produttivo. In altre parole, due account separati: uno per gestire il PC e il relativo software, uno per accedere alle applicazioni come Office, navigare nel Web, usare la posta elettronica e così via.
Ovviamente le buone pratiche comportano sempre un livello di impegno extra che molti preferiscono evitare, creando scorciatoie tanto facili quanto pericolose. Abbiamo così, account amministrativi che vengono utilizzati anche per navigare in Internet, mettendo a repentaglio l’intero computer (e magari anche il resto della rete aziendale) nel caso si incocci in qualche malware pronto a sfruttare l’occasione.
Un altro caso diffuso riguarda l’elevazione – in teoria temporanea – dei privilegi di un utente normale, per velocizzare la soluzione di un determinato inconveniente. Questo accade in genere quando un amministratore, non avendo il tempo necessario per risolvere in prima persona il problema di un collega, gli concede i “superpoteri” affinché possa provare a sistemare il contrattempo da sé. Una pessima idea, che lo diventa ancor di più quando poi ci si dimentica di ripristinare il corretto livello di accesso.
Non aggiornare i sistemi
Il motivo nasce da una semplice e fastidiosa verità: non esistono software che siano totalmente privi di errori (o bug) e questo avviene in ragione direttamente proporzionale alla loro complessità. Se prendiamo ad esempio il sistema operativo Windows, composto da 50 milioni di righe di codice, è facile capire come sia impossibile garantire l’assenza di inconvenienti nonostante le attenzioni dedicate al controllo qualità in fase di produzione.
In genere i bug tendono a saltar fuori al verificarsi di qualche oscura e poco comune condizione – l’interdipendenza con un altro software, una certa sequenza di operazioni, la presenza di dati particolari per tipologia o dimensioni – portando talvolta al blocco del programma o addirittura della macchina.
Ma l’aspetto che ti deve interessare di più è un altro, ovvero il fatto che molti bug possono essere messi a frutto da malintenzionati per lanciare attacchi; basta riuscire a scatenare un determinato tipo di errore anche nell’applicazione più modesta e insignificante per permettere a un intruso di ottenere i privilegi amministrativi sul computer interessato e, da lì, muoversi silenziosamente senza più limitazioni nel resto della rete locale.
I cybercriminali investono quindi parecchio tempo a studiare i bug in circolazione (o scoprirne di inediti), attingendo ai database delle vulnerabilità pubblicamente disponibili su Internet che normalmente servono ai legittimi autori per risolvere i problemi scoperti nei rispettivi software, rilasciando gli appositi aggiornamenti.
Ecco quindi spiegato perché è così importante che tutti i tuoi computer dispongano sempre delle versioni più recenti di sistemi operativi e applicazioni. Continuare a usare versioni obsolete facilita la vita dei cybercriminali che, proprio grazie ai metodi automatizzati che abbiamo visto prima, non ci metteranno molto prima di identificare i varchi che lasci aperti nei tuoi sistemi, ritardando o saltando gli aggiornamenti.
Scarsa attenzione alla sicurezza del Wi-Fi
Bisogna però ammettere che le procedure di configurazione e manutenzione delle reti Wi-Fi sono rimaste un po’ farraginose e indietro coi tempi, specie sui modelli di router più economici di fascia consumer che continuano a essere molto diffusi negli studi professionali, nelle microimprese e PMI prive di competenze tecniche.
Nascono così due tipologie di problema:
- reti Wi-Fi aperte: sono reti che non richiedono password, il che facilita il collegamento ma ne permette l’utilizzo a chiunque si trovi a portata del segnale. Un intruso connesso al Wi-Fi della tua azienda è potenzialmente in grado di osservare e analizzare il traffico dati che vi circola, esattamente come se si trattasse di un utente interno. E anche senza particolari intenti cybercriminali, uno sconosciuto può approfittare della tua rete Wi-Fi aperta per consumare risorse, ad esempio scaricando film o programmi piratati – rallentando il tuo lavoro e rendendoti legalmente responsabile delle sue azioni illecite (visto che la rete è la tua);
- reti Wi-Fi che non cambiano mai password: se non modifichi mai le credenziali di accesso al Wi-Fi, nel tempo accumulerai un grande numero di persone in grado di accedervi. Ex dipendenti, fornitori o clienti che sono venuti a visitarti qualche volta e che hanno memorizzato sui loro computer e dispositivi il nome e la password della tua rete, potranno sempre collegarsi a piacimento. E non dimenticare: anche i router utilizzati per implementare le reti Wi-Fi hanno periodicamente bisogno di aggiornare il software che li fa funzionare (che in questo caso prende il nome di firmware)!
Scarsa attenzione nella gestione delle password
Per proteggerti al meglio ci sono due semplici accorgimenti che puoi usare tu stesso e far usare ai tuoi colleghi o dipendenti (e perché no, anche ai tuoi famigliari e amici):
- Evita le password brevi, semplici o comuni. Password come “123456”, “qwerty” o “fred” (perché proprio “fred”? Guarda la tastiera del computer e lo capirai), sono talmente diffuse che è come non averle. Evita parole di senso compiuto che possono essere trovate in un dizionario; usa un mix di lettere maiuscole e minuscole, numeri, segni di punteggiatura e caratteri speciali; assicurati che la tua password sia più lunga di 8 caratteri (dormi sonni tranquilli: stai sui 14 caratteri e non te ne pentirai). Evita di includere i nomi dei tuoi animali domestici, date significative, nomignoli affettuosi o parole legate a hobby e interessi: si possono indovinare più facilmente di quanto credi.
- Evita di usare la stessa password per più identità. Quando un sito o un servizio vengono violati dai cybercriminali, il database con le credenziali dei relativi utenti viene utilizzato per provare ad accedere a servizi differenti, ben sapendo che molte persone tendono a riutilizzare la stessa coppia nome utente / password anche altrove. Non essere pigro, non ripeterti mai e fai in modo che ogni password sia notevolmente diversa dalle altre. E magari ogni tanto cambiale!
Condividi questi consigli e affidati a professionisti in sicurezza IT
Condividi questi consigli con i tuoi collaboratori e chiedici un consulto per applicarli al meglio.
La sicurezza della tua azienda deve essere garantita da tecnici professionisti sempre aggiornati sui nuovi pericoli e in grado di attuare tutte le procedure corrette per mantenere protetti i punti più a rischio della tua infrastruttura IT. Un’analisi puntuale ed approfondita della situazione in essere può far emergere eventuali criticità.
Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Security dell’area IT che si occuperà della completa gestione del problema in modalità Managed Service Provider (MSP).
L’outsourcing dell’intera area IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.