La sicurezza informatica delle Pmi è nel mirino di violazioni e cyber attacchi. Lo riporta Kaspersky.
A causare i danni è spesso il fattore umano. “I dati pubblicati da Kaspersky non aggiungono nulla di nuovo”, commenta Giorgio Sbaraglia, consulente aziendale cyber security e membro del comitato direttivo del Clusit, “infatti il maggior punto debole nella sicurezza informatica è il fattore umano.
A mettere a rischio aziende e la loro reputazione sono comportamenti inappropriati dei dipendenti. “Il risultato del rapporto non deve sorprenderci”, conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è noto che le Pmi sono le più esposte alle minacce informatica a causa di due fattori principali, la mancanza di consapevolezza della minaccia è gli scarsi investimenti in cyber security“.
Infatti, “il problema principale”, aggiunge Sofia Scozzari, CEO & Founder Hackmanac, Direttivo Clusit e Women For Security, “è che le Pmi si ritengono più al sicuro quando si tratta di cyber attacchi, proprio grazie alle loro dimensioni ridotte”.
Ecco cosa mette a repentaglio la cyber security aziendale.
Indice degli argomenti
Lo stato della sicurezza informatica nelle Pmi
Sfiora il 46% la quota degli attacchi informatici contro le Pmi. “Le grandi aziende e multinazionali espongono una superficie di attacco maggiore, e, spesso, si tratta anche di bersagli molto noti, quindi più appetibili (rispetto alle Pmi, ndr) per i cyber criminali”, osserva Sofia Scozzari: “Ma, d’altro canto, una piccola azienda dispone di mezzi di protezione inferiori, spesso con personale tecnico ridotto se non addirittura assente, e i cyber criminali ne sono consapevoli. Il risultato è che le Pmi sono meno preparate in caso di attacco, meno pronte a riconoscere la minaccia e a gestirla tempestivamente, oltre che meno resilienti”.
“Un attacco informatico di grave entità”, dunque, secondo Sofia Scozzari, “può mettere in seria difficoltà una vittima. Ma, mentre le grandi aziende dispongono di maggiori risorse che possono in qualche modo assorbire i danni, non vale la stessa cosa per le piccole, medie e, a maggior ragione, le micro aziende”.
Il fattore umano: l’anello debole della sicurezza informatica delle Pmi
Da un report del World Economic Forum, il 95% delle violazioni in materia di sicurezza informatica dipendono dall’errore umano. “Il fattore umano è nelle grandi imprese, così come nelle Pmi”, continua Paganini, “la principale causa delle violazioni di sicurezza. Tuttavia, la mancanza di conoscenza delle minacce e l’assenza di controlli amplificano la superficie di attacco delle Pmi“.
“La cyber security, prima di essere un problema tecnico, è un problema Culturale”, aggiunge Sbaraglia, “e questo è particolarmente evidente nelle Pmi. È una mancanza di cultura e consapevolezza (awareness) che si traduce nell’assenza di misure di sicurezza informatica che non verranno adottate”.
Dall’analisi di Kaspersky, infatti, emerge che la negligenza dei dipendenti o anche azioni vendicative possano avere un impatto negativo sulla la cyber security delle Pmi. Infatti “i dipendenti delle Pmi possono esser causa di violazioni per comportamenti non in linea con le best practice in materia di sicurezza”, mette in guardia Paganini, “così come di azioni intenzionali mirate a ledere le imprese stesse. L’azione di un insider contro una Pmi è purtroppo difficile da individuare e l’assenza di controlli aumenta i potenziali danni che possono derivare da condotte di questo tipo“.
Circa i dipendenti sono la causa del 22% delle fughe di dati nelle PMI. La stessa percentuale è da attribuire ai cyber attacchi. “Per quanto riguarda i comportamenti sbagliati da parte dei dipendenti, una gestione ‘leggera’ delle password, così come l’incapacità di riconoscere messaggi di phishing rappresentano a mio giudizio le principali cause di successo degli attacchi alle Pmi”, evidenzia Paganini.
“I dipendenti sono pericolosi quasi quanto gli hacker”, sostiene Kaspersky in una nota. Naturalmente, nella maggior parte dei casi, ciò accade per alcuni motivi. Ecco quali.
Dipendenti pericolosi quanto gli hacker: ecco perché
La mancanza di consapevolezza da parte dei dipendenti è alla base della serie di violazioni e rischi cyber che possono provocare danni e perdite (anche sul fronte reputazionale) delle piccole e medie imprese.
L’assenza di consapevolezza e quindi di misure adeguate “non sono legati alla carenza di budget”, spiega Sbaraglia: “Il denaro infatti ci sarebbe, ma non si ritiene utile destinarlo alla cyber security. Invece dipende da scelte aziendali basate sull’errata percezione che ‘sono una piccola azienda, non ho dati importanti, perché dovrebbero attaccarmi?’. Un errore che può esporre una Pmi a rischi gravissimi”.
Infatti, secondo Giorgio Sbarglia, “da un recente rapporto Swascan emerge che l’80% degli attacchi ransomware si concentrano sulle piccole e medie imprese con un fatturato annuo inferiore a 250 milioni di dollari. Un altro rischio grandemente sottovalutato è quello dell’insider. Secondo Intel, le minacce provenienti dall’interno dell’azienda sono responsabili del 43% di tutte le violazioni e non necessariamente sono intenzionali (il malicious insider, il dipendente infedele). Si stima infatti che almeno la metà delle minacce interne siano accidentali, cioè causate dal dipendente inconsapevole o distratto”.
Una questione culturale più che tecnologica
“Quindi le soluzioni di sicurezza tecnologica da sole non bastano. Le aziende devono essere consapevoli che gli utenti devono diventare l’ultima linea di difesa ed avere un ruolo attivo nella sicurezza organizzativa”, evidenzia Sbaraglia: “Assistiamo invece nelle aziende a un atteggiamento spesso pigro e distratto soprattutto su due fronti fondamentali e tra loro strettamente collegati: la formazione e le policy aziendali di sicurezza“.
In particolare, sono a rischio le password deboli, le cyber truffe e il phishing, policy BYOD (Bring Your Own Device). Ma “per esperienza personale aggiungo alla lista di Kaspersky un ulteriore fattore di rischio per le Pmi”, avverte Paganini, quello “relativo all’utilizzo di software non licenziati e versioni crackate di sistemi operativi e di popolari applicazioni“.
Password deboli
I dipendenti potrebbero non impiegare password forti o comunque facili da indovinare (il nome del gatto che si legge sul profilo social), rendendo i cyber criminali in grado di commettere danni al sistema, accedendo anche a dati sensibili. La lista delle password più crackate è consultabile.
Nel caso delle password è possibile insegnare a usare password forti, un buon password manager e un sistema di autenticazione multifattore.
“Le azienda dovranno stabilire policy rigorose sull’utilizzo dei dispositivi informatici e delle password“, conferma Sbaraglia.
Phishing
Gli impiegati inoltre potrebbero, per errore o in maniera involontaria, cliccare su un link phishing ricevuto via mail, consentendo così di contagiarsi e diffondere malware e subire accessi non autorizzati alla rete. I truffatori sono infatti in grado di imitare un indirizzo di posta elettronica appartenente a una società legittima. Quando la mail contiene un allegato si può rivelare un malware, come nel caso dell’attacco protratto da Agent Tesla che ha colpito gli utenti di tutto il mondo.
Policy BYOD (Bring Your Own Device)
Conseguenza accentuata dai lockdown, il BYOD si è sempre più diffuso. In pandemia, in tutti i settori che lo consentivano le Pmi hanno obbligato i dipendenti al lavoro da remoto, privilegiando la “continuità” aziendale a discapito della cyber sicurezza.
Ma per fare smart working, seriamente, andrebbero seguite regole rigorose, per fare il lavoro agile senza compromettere la sicurezza informatica delle Pmi. I dispositivi personali, tuttavia, non sono equipaggiati con protezioni ad hoc, minacciando la sicurezza aziendale.
Oltre 400 mila nuovi programmi malevoli compaiono ogni giorno. Le aziende nel mirino degli attacchi crescono. Ma, in ogni caso, la maggior parte di queste non prevede il blocco (o lo ritiene impossibile) completamente l’accesso ai dati aziendali attraverso dispositivi personali.
Formazione: come garantire la sicurezza informatica nelle Pmi
Un errore classico dei responsabili IT è non tutelare i dati aziendali contenuti in un notebook personale, a rischio di smarrimento o furto.
Alcune aziende risolvono questo problema, consentendo ai propri dipendenti solo di lavorare in ufficio con PC autorizzati, limitando l’invio di dati e impedendo l’uso di chiavette USB.
Si tratta di un approccio, tuttavia, non applicabile in una Pmi che si avvale delle politica aziendale BYOD.
In primo luogo, i dipendenti sfruttano i propri Pc per maggior versatilità, ma senza compromettere la sicurezza.
In caso di smarrimento del dispositivo (laptop o chiavetta USB), la crittografia totale o parziale dei dati aziendali, supportata da una normativa, impedisce che i dati contenuti diventino accessibili senza password.
Altra grave lacuna è l’assenza di patch. Se i dipendenti impiegano i propri dispositivi personali, i responsabili IT potrebbero non riuscire a monitorarne o a risolvere i problemi di
sicurezza.
Inoltre, i dipendenti potrebbero non installare le patch o non aggiornare i loro sistemi con regolarità, lasciando vulnerabilità non sanate di cui i cyber criminali potrebbero trarre vantaggio.
In caso di attacchi di tipo ransomware, occorre effettuare il backup dei dati, per avere accesso alle informazioni crittografate, anche se i criminali informatici penetrano nel sistema dell’azienda.
Fra le tecniche inganno ci sono il social engineering o il phishing, dove i dipendenti potrebbero cadere in trappole e inconsapevolmente rivelare informazioni sensibili: password, dettagli di accesso o altri dati confidenziali.
“Come sottolineo spesso”, conclude Paganini, “la protezione di una infrastruttura richiede un approccio tecnologico così come umano. Soluzioni adeguate di difesa e programmi di formazione adeguati sono essenziali per la protezione delle imprese”.
I nuovi assunti, che ancora non hanno familiarità con le abitudini aziendali, potrebbero infatti essere facilmente esposti a truffe. Per esempio, un truffatore potrebbe fingersi il “capo” per trafugare informazioni importanti sulla società o estorcere denaro, tramite un indirizzo non ufficiale, e chiedendo all’impiegato di svolgere un compito in fretta.
L’attività richiesta potrebbe consistere nell’invio di denaro a un cliente o nell’acquisto di buoni regalo di un certo valore. I messaggi in cui “la velocità è essenziale” e che contiene “ricompense alla fine della giornata” evidenziano l’urgenza, al fine di non concedere ai dipendenti il tempo di pensare o ricevere informazioni ai colleghi.
Consigli per la sicurezza informatica nelle Pmi
La priorità, secondo Sofia Scozzari, è “un’attenta valutazione dei rischi di sicurezza informatica, perché non esiste una sola soluzione valida per tutte le problematiche”. “Allo stesso tempo”, continua la CEO & Founder Hackmanac, Direttivo Clusit e Women For Security, “è necessario definire un’accurata strategia di cyber security che tenga conto:
- dello specifico profilo di rischio dell’azienda;
- della superficie esposta agli attacchi;
- del livello di maturità relativamente alle tematiche di sicurezza;
- della consapevolezza di rischi e minacce digitali”. Infine “sono regole che devono essere imposte”, sottolinea Sbaraglia, “ma è molto importante renderle comprensibili. Sconsiglio regolamenti di decine di pagine. Non solo regole comprensibili, ma anche condivise con gli utilizzatori. In altre parole: sarà più semplice far adottare comportamenti virtuosi se il dipendente viene coinvolto e responsabilizzato nelle misure da adottare. Invece, imponendo divieti è meno efficace rispetto a creare nel dipendente la consapevolezza che un suo errore (ovvero un mancato rispetto di una misura di sicurezza) può mettere a rischio la sopravvivenza dell’azienda e quindi del suo stesso posto di lavoro”, conclude Giorgio Sbaraglia.
