Ogni mese d’ottobre si inaugura una nuova edizione dell’European Cyber Security Month (ECSM), la campagna dell’Unione Europea dedicata alla sensibilizzazione di cittadini e organizzazioni sui rischi cyber e sull’importanza dell’awareness: come ricorda la Commissione Europea, elencando le Cybersecurity Policies, l’Europa lavora su diversi fronti per promuovere la resilienza informatica, salvaguardando le nostre comunicazioni e i nostri dati e mantenendo sicure la società e l’economia online. Negli Stati Uniti questo appuntamento, che si distingue per la condivisione di buone pratiche, inoltre, “è arrivato addirittura al suo ventesimo anniversario, sempre nel segno della sensibilizzazione e dell’aggiornamento dei dipendenti sulla cybersecurity”, aggiunge Michele Lamartina, country manager di Palo Alto Networks Italia e Malta.
In Italia, con il coordinamento dell’Agenzia per la cybersicurezza nazionale, anche il Clusit promuove iniziative di formazione ed eventi sul territorio per mitigare i rischi delle nuove minacce informatiche.
“In uno scenario caratterizzato dall’aumento delle minacce informatiche e dal loro crescente livello di complessità”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “assumono un’importante valenza le iniziative come l’Ecsm. Ben vengano iniziative come questa, con l’auspicio che possano diventare parte integrante di un processo di crescita continuo dei cittadini“.
Per mitigare i rischi cyber e aumentare il livello di consapevolezza, servirebbe la figura di un CISO in ogni Cda delle aziende più esposte. Ma “bisognerebbe stabilire una massiccia campagna sui rischi cyber per ogni categoria professionale più nel mirino: giornalisti, magistrati, politici eccetera”, aggiunge Alessio Pennasilico, Information & Cyber Security Advisor di P4i (Partners4Innovation) e del Comitato Scientifico Clusit. “Sarebbe importante una maggiore alfabetizzazione informatica delle categorie fragili, ma fondamentali del Paese”.
“Ricordare il passato è sempre un modo per riscattare errori, incomprensioni e per proiettare il presente verso un futuro migliore”, aggiunge Marco Ramilli, Ceo e fondatore di Yoroi: “Credo che questo sia il vero significato del mese dedicato alla cybersecurity”.
Indice degli argomenti
European Cyber Security Month: i rischi cyber
Come emerge dal Rapporto Clusit 2023, ransomware e phishing sono due fra le tecniche più diffuse fra i cyber criminali a livello mondiale e in Italia.
I cyber attacchi hanno chiuso il 2022 mettendo a segno il valore più elevato di sempre e la superiore percentuale di crescita annua, su scala globale e nazionale. Gli attacchi contro l’Europa sfiorano un quarto (24%) degli attacchi globali: raddoppiati rispetto a cinque anni fa.
Anche l’Italia non è esente da rischi. Anzi, l’anno scorso nel nostro Paese è andato a buon fine il 7,6% degli attacchi globali (contro il 3,4% del 2021), con una crescita del 169% degli episodi rispetto all’anno precedente. Nell’83% dei casi hanno raggiunto un livello di gravità elevata o critica.
Anche “l’identità è la nuova superficie d’attacco”, mette in guardia Emiliano Massa, Area Vice President, Sales Southern Europe, Proofpoint: “Continuiamo a usare il termine People-centric per descrivere il panorama delle minacce moderne e lo stile di difesa necessario per proteggersi da esse. Ora i cybercriminali puntano sull’identità per favorire i loro guadagni, seguendo uno schema ben definito, una vera e propria ‘catena di attacco’”.
“Il furto di identità è una minaccia crescente nel panorama digitale attuale”, continua Massa: “Tra le aziende italiane che hanno subito tentativi di attacchi phishing via email lo scorso anno, il 46% ha dovuto registrare un furto di credenziali e/o una compromissione dell’account, in cui i dipendenti espongono in modo involontario le proprie credenziali, offrendo ai cybercriminali la possibilità di agire in modo potenzialmente efficace”.
Come mitigare le minacce cyber: le iniziative previste
Organizzata dall’agenzia europea Enisa, l’European Cyber Security Month prevede attività in tutti i Paesi membri dell’UE. “Già il fatto che esista un’iniziativa simile, è molto importante”, sottolinea Pennasilico, “per spiegare quanto grandi siano i rischi dell’ambito cyber e perché sia fondamentale occuparsene. Purtroppo però ancora la cyber sicurezza viene percepita come un tema tecnologico, in realtà coinvolge fortemente le persone, la consapevolezza e i processi aziendale. La tecnologia è un fattore abilitante che rafforza, ma non devono mancare le basi”.
La campagna italiana, grazie al coordinamento di ACN e al supporto del Clusit (Associazione Italiana per la Sicurezza Informatica), si declina in collaborazione con università, centri di ricerca ed organizzazioni.
“Credo che il vero significato del mese dedicato alla cybersecurity”, sottolinea Ramilli, “sia ricordare a tutti che il digitale può essere un luogo migliore e che migliorando l’igiene cibernetica di ognuno di noi si possa ottenere questo ambizioso risultato“. “Il mio consiglio quest’anno è quello di mantenere viva la curiosità verso tematiche inerenti alla cybersecurity, di comprendere quali possano essere le prossime minacce, come poterle riconoscere e come saperle evitare“, mette in evidenza Ramilli che suggerisce di iscrivetevi a corsi di formazione, riviste digitali, newsletter, interessarsi di questa materia anche se apparentemente molto lontana dalla propria zona di confort. L’interesse è come l’appetito, aumenta con la consumazione di contenuti. Siate interessati e curiosi, la capacità di migliorare la propria igiene cibernetica sarà diretta conseguenza”.
Le iniziative previste nell’arco del mese di ottobre sono di conoscenza, consapevolezza e formazione sul territorio. “Aumentare la consapevolezza delle minacce informatiche e formare i cittadini sulle azioni a mitigazione“, conferma Paganini, “consente di innalzare il livello di resilienza della nostra società agli attacchi informatici. Questo aspetto è cruciale se consideriamo la sovrapposizione sempre maggiore tra vissuto reale e digitale”.
L’obiettivo è quello di catalizzare l’attenzione di cittadini e delle imprese sulla postura corretta e sulla gestione dei nuovi rischi cyber legati alla crescente digitalizzazione. “Anche perché molte minacce sono frodi, che arrivano per email (anche se il 95% di spam viene fermato), ma non sono attacchi informatici“, evidenzia Pennasilico: “Non c’è l’antivirus che ferma queste frodi, anche se migliora l’AI e i sistemi per identificare questi fenomeni cyber criminali, ma ad arginarli sono la consapevolezza e la formazione. Il fattore umano è fondamentale. Il mese della sicurezza informatica serve proprio a renderci consci di ciò”.
“Numerosi rapporti di agenzie governative ed aziende di cyber sicurezza sottolineano come il successo della quasi totalità degli attacchi sia dovuto al fattore umano“, avverte Paganini: “Siamo in maniera spesso inconsapevole nodi di una rete globale con la quale scambiamo un quantitativo crescente di informazioni. Al tempo stesso rappresentiamo l’anello debole della catena di sicurezza e per questo motivo è fondamentale”.
Security Summit Verona: appuntamento del Cyber Security Month
Un’iniziativa particolarmente importante è il Security Summit Verona, che si terrà il 10 ottobre. Nel corso dell’evento, gli esperti del Clusit analizzeranno lo scenario della cyber security in ambito regionale e nazionale. Inoltre illustreranno l’analisi degli attacchi globali del primo semestre 2023 all’interno del nuovo Rapporto Clusit il 9 novembre nel corso di Security Summit Streaming Edition, a ideale chiusura di ECSM. L’agenda degli eventi italiani supportati da Clusit durante la campagna ECSM 2023 e la lista dei partner coinvolti, in continuo aggiornamento, è disponibile sul sito di Clusit.
“Ogni aspetto della nostra vita ha oggi una deriva digitale e non è più possibile non preoccuparsi dei rischi”, spiega Paolo Giudice, segretario generale di Clusit. “Mettiamo in campo tutte le nostre forze con le istituzioni europee e in particolare con ACN perché la consapevolezza deve partire dall’individuo per arrivare alle organizzazioni più complesse”.
Cinque lezioni dai consigli inascoltati
Secondo Barracuda, ci sono 5 lezioni da trarre dai consigli che agli utenti piace ignorare.
Il primo è quello di leggere le istruzioni. Infatti un utente su quattro non ha mai letto, al primo uso, il manuale di istruzioni di un device o un’app. Tanto che nei casi dei resi, il 95% dei prodotti funziona correttamente.
La seconda lezione è che non basta cancellare un’app indesiderata dallo smartphone, per risolvere tutti i problemi. Per rimuoverla, occorre accedere all’app store, trovare l’applicazione, effettuare la cancellazione dei dati e la cache, prima di disinstallare l’app.
Il terzo consiglio è che un dispositivo semplice e immediato avrà un utilizzo maggiore di uno complesso e ricco di opzioni. Secondo la Columbia University, davanti a 24 tipi di marmellata, solo il 3% dei clienti ne compra un vasetto; invece, in presenza di sei varietà, il 30% si decide di comprare.
Non serve inoltre ripetere un’azione all’infinito per risolvere un problema. Ripetere clic su Aggiorna, Riavvia o Ricarica non serve a nulla.
Il 49% dei dipendenti aggiunge una lettera o un simbolo alla password precedente. La quinta lezione consiste infine nell’impostare una password forte.
Approccio Zero Trust
“Per interrompere la catena di attacchi dove l’identità è la nuova superficie d’attacco”, conclude Massa, “è fondamentale l’utilizzo di soluzioni di Identity Threat Detection and Response (ITDR), che si affermano come controlli critici in grado di sventare gli attacchi prima che si concretizzino in incidenti devastanti come ransomware o furto di dati. Monitorando e analizzando attivamente le attività legate all’identità, le soluzioni ITDR forniscono le misure di difesa proattive necessarie per sventare le minacce nelle loro fasi iniziali. Le aziende possono così mitigare efficacemente il rischio di pericolose violazioni della sicurezza, salvaguardando i dati critici e preservando la continuità operativa”.
Servono più consapevolezza e formazione, programmi di security awareness, al fine di formare l’intera forza lavoro, grazie a simulazioni di phishing e campagne efficaci di sensibilizzazione alla sicurezza. Infine, una strategia Zero Trust, ben definita e articolata lungo tutta l’organizzazione, aumenta la cyber resilienza delle aziende italiane in questo panorama di crescenti attacchi.
Queste “attività dovrebbero essere promosse e implementate costantemente, nel corso dell’anno”, conclude Michele Lamartina, “per proteggere in modo continuo utenti, dati e aziende da attacchi informatici sempre più pericolosi e sofisticati e costruire una solida cultura in tema di cybersicurezza. A questo proposito, in Italia è in atto un significativo aumento della consapevolezza da parte delle aziende – soprattutto dei consigli di amministrazione – sull’importanza della cybersecurity come elemento a valore della sostenibilità di un business sempre più digitale. In un momento caratterizzato da un’evoluzione rapida e costante, i dati diventano un asset fondamentale per la continuità aziendale, e per questo è importante far evolvere la cybersecurity a 360°, includendo nelle strategie tecnologie di prevenzione, automazione e integrazione”.