Il 14 luglio scorso, a un evento della Italian Digital SME Alliance presso la Camera di Commercio di Milano è stata presentata la Guida europea per le PMI sui controlli di sicurezza delle informazioni.
La guida, elaborata nella sua versione originale in inglese dalla European DIGITAL SME Alliance e SBS (Small Business Standards), è basata su standard internazionali, in primis ISO/IEC 27002 nonché le norme ISO/IEC 27701, 17021, 17065, ma anche il regolamento GDPR.
La guida contiene controlli di gestione della sicurezza, controlli di sicurezza informatica, raccomandazioni sulla sicurezza fisica e controlli sulla protezione della privacy, insieme a indicazioni sulla governance della sicurezza delle informazioni. Una guida analoga, ma più datata era quella sui controlli essenziali della cybersecurity del 2016.
Come recita anche il comunicato stampa, la sicurezza rimane un argomento cruciale nell’adozione delle tecnologie abilitanti e delle soluzioni di cui le aziende hanno bisogno.
In tempi in cui le PMI sono sempre più colpite da attacchi informatici, la sicurezza informatica è essenziale per proteggerne il valore e garantirne la continuità operativa. Ma le microimprese invece? Una microimpresa differisce da una PMI per svariati motivi, a partire dalla definizione. Una microimpresa è un’organizzazione di dimensione media sotto le 10 persone e un fatturato annuo o un totale di bilancio annuo non superiori a 2 milioni di euro (ad esempio gli artigiani).
Nel panorama normativo della cyber security nazionale ed europeo le microimprese sono tendenzialmente orfane di attenzioni da parte dei finanziamenti europei per la cyber security (che più frequentemente si rivolgono alle PMI), non hanno spesso competenze nel mondo cyber e possono essere mal consigliate. Quasi sempre la loro cyber security viene affidata in outsourcing da altre microimprese che possono non essere sufficientemente o regolarmente aggiornate sugli avanzamenti del cyber crime.
In generale quella delle microimprese è una galassia difficile da approcciare direttamente, perché la loro capacità media di spesa è tipicamente ridotta, ma è anche una categoria particolarmente esposta alle problematiche cyber, specialmente dopo le recenti evoluzioni del cybercrime legate al COVID e al conflitto russo-ucraino.
Indice degli argomenti
Microimprese: le vittime favorite del cyber crime moderno
Nel valutare l’esposizione media al rischio cyber di un’attività di business è importante valutare un importante parametro, la redditività media delle vittime per il cyber crime, per tipo o dimensione del business. Tale parametro aiuta a comprendere l’esposizione media di una macrocategoria di organizzazioni.
Come evidenziato dalla figura sottostante, la redditività media degli attacchi cyber, dopo l’inizio della guerra si è spostata verso le microimprese. È un semplice fatto di evoluzione tecnologica del cyber crime: oggigiorno è conveniente attaccare le ME, per svariati motivi.
L’automazione degli attacchi, la relativa facilità con la quale questo tipo di vittime paga i riscatti, l’enorme valore dei loro dati, la facilità di incappare in brevetti non adeguatamente protetti e, non ultima, il timore diffuso nelle microimprese di dover chiudere l’attività a seguito di un attacco cyber.
Questi fattori vanno affiancati alla migliore capacità di automatizzare gli attacchi altamente targettizzati. Ad esempio, tramite tecniche di intelligenza artificiale, è già possibile automatizzare larga parte delle campagne di social engineering o di highly targeted o spear phishing[1].
Ma non solo, la penetrazione nel tessuto sociale ed economico è anche una conseguenza della elevatissima redditività del crimine informatico, da quando è apparso il COVID: molti micro soggetti criminali sono interessati a questo tipo di attività, come dimostrato dal recente vertiginoso incremento di attacchi in Italia spesso anche da parte di soggetti italiani[2].
Infine, occorre anche considerare la minaccia latente per le microimprese di finire invischiati in un attacco a qualche ente che ne gestisce i dati. Ne è un esempio il recentissimo presunto attacco all’Agenzia delle Entrate da parte di LockBit 3.0. Questo ha già portato ad una preview di dati che include molte ditte individuali o micro imprese.
Redditività media degli attacchi cyber per tipo di organizzazione (immagine ©Cefriel).
Secondo un recente sondaggio condotto da PurpleSec, il 70% di queste aziende non è preparato ad affrontare un attacco informatico. Tre microimprese su quattro accusano la mancanza di personale dedicato ad affrontare le minacce alla sicurezza IT e oltre la metà di queste afferma che non venga assegnato alcun budget alla sicurezza informatica.
Le microimprese tendono ad essere più esposte alle minacce informatiche a causa del loro status e dei loro metodi di lavoro diversi da quelli delle PMI. La maggior parte di queste lavora con partner di terze parti, il che aumenta il rischio di violazione dei dati.
Inoltre, gli attacchi che utilizzano la social engineering sono per alcuni aspetti più semplici da costruire per altri invece sono più complessi nel caso delle microimprese (fatto indirettamente testimoniato da una maggiore incidenza di attacchi).
Più semplici, perché il numero di persone chiave è ridotto e chiaro e la preparazione media di una microimpresa sui pericoli del cyberspazio è insufficiente. Più complessi, perché la contestualizzazione dei messaggi inviati deve essere elevata, occorre ricostruire le relazioni con fornitori o clienti e considerare che i contatti sono spesso interpersonali.
Ad esempio, un attacco di phishing di tipo BEC o Barrel Phishing è tipicamente più laborioso da preparare nel caso di una microimpresa. In generale però, le informazioni necessarie sono tutte in rete e reperibili grazie all’evoluzione delle tecniche di OSINT e soprattutto l’automazione degli attacchi.
L’automazione, in particolare, rende l’attacco sostenibile a fronte di un impegno diretto dell’attaccante minimo. Indipendentemente dalla capacità di automatizzare gli attacchi il numero di informazioni reperibili tramite OSINT permette ad un attaccante di impersonare uno dei collaboratori esterni, ad esempio un fornitore, e inviare all’azienda in questione una e-mail, falsamente urgente, convincente, relativa a un problema di consegna che richiede loro di confermare informazioni riservate come nomi, indirizzi o dettagli bancari. L’automazione rende queste fasi applicabili su larga scala.
Occorre anche considerare che, molto frequentemente, i dipendenti delle microimprese utilizzano i propri dispositivi personali, il che li rende più suscettibili a rischi quali la perdita di dati, il furto di proprietà intellettuale e l’installazione di app dannose.
Questo è accompagnato a una percezione media delle minacce online insufficiente: le microimprese non vedono spesso gli attacchi informatici o la perdita di dati come un rischio significativo per la loro attività. Nella maggior parte dei casi si considerano (erroneamente) troppo piccole per essere attaccate e ritengono che il loro settore non sia di alcun interesse per i criminali informatici.
Cinque tipiche conseguenze di un attacco a una microimpresa
Considerare il problema delle microimprese comporta innanzitutto distinguere quegli elementi che ne caratterizzano in modo univoco la struttura e le minacce. Non sono molti i whitepaper di settore che considerano in modo esplicito le microimprese differenziandole dalle Small e Medium Enterprise (SME) e questo crea qualche confusione.
Le conseguenze di un attacco ad una microimpresa sono però abbastanza uniche:
- Interruzione del business. Tanto più è piccolo e competitivo il business tanto più problematica è sia la sua situazione competitiva sia la sua conduzione. Nel caso di una interruzione a causa di un ransomware, ad esempio, questo potrebbe portare al fallimento della ditta, anche a seguito della impossibilità di pagare il riscatto richiesto.
- Perdita di dati sensibili o, peggio ancora, dei dati personali di utenti, collaboratori e clienti con la seria possibilità di subire impattanti sanzioni amministrative.
- Perdita della proprietà intellettuale. Spesso per me piccole e medie imprese la proprietà intellettuale rappresenta l’asset più importante. Nel caso delle microimprese questo asset consiste nell’esperienza e nel know-how delle persone che la compongono, professionisti di settore con competenze molto specifiche.
- Danno reputazionale. Connesso con il punto precedente, la reputazione di una microimpresa è un altro asset strategico, il cui danneggiamento (ad esempio tramite attacchi di crowdturfing o astroturfing) può risultare problematico se dovesse minare la rete di rapporti professionali della piccola attività.
- Supply chain non strutturate, difficilmente controllabili e poco regolamentate. Spesso le microimprese sono il primo anello di una supply-chain, fornendo di prima mano servizi a terzi. Il problema della sicurezza della supply-chain, pertanto, parte proprio da loro nella maggior parte dei casi.
- Assenza di norme di configurazione dei servizi IT (es. terminale mobile usato per lavoro e non). Il documento pubblicato dalla Italian Digital SME Alliance citato in apertura vuole essere un primo spunto per colmare il vuoto di best practices che esiste al di sotto del livello delle PMI. Le indicazioni per le microimprese devono più che mai però essere sostenibili. Più piccola è l’organizzazione di riferimento, più il problema della sostenibilità della cybersecurity diventa decisivo.
Il dilemma della sostenibilità della cyber security
Dal quadro delineato emerge chiaramente che le aziende altamente innovative e in generale le microimprese siano spesso le prime ad adottare nuove tecnologie ICT e quindi le prime a doversi assicurare misure di sicurezza informatica all’avanguardia.
Questo bisogno viene sempre più limitato dalla crescente complessità della cyber security, intesa come l’insieme di tutti i processi necessari al mantenimento della sicurezza aziendale ed alla mitigazione del rischio cyber.
La cyber security è oggigiorno divenuta principalmente un problema di ottimizzazione del rischio di essere compromessi rispetto a tecnologie, competenze, costi, processi disponibili.
In alte parole, un processo complesso, critico per le aziende di qualsiasi dimensione, che richiede conoscenze di dettaglio, auspicabilmente senza polarizzazioni rispetto all’offerta di mercato. Nel caso di aziende piccole o micro la sostenibilità di questo processo diventa un elemento fondamentale.
Le spese dirette e indirette, di un attacco cyber sono in costante crescita. Per il mantenimento delle misure di difesa, le aziende si sono trovate a dover fronteggiare un problema composto da differenti variabili: tecnologie, rischio cyber, competenze necessarie e costi di gestione.
In tempi di crescente incertezza economica e politica, la principale questione di qualsiasi business, in particolare di quelli medio piccoli, ma anche delle microimprese è come mantenere sostenibile la cyber security a fronte della necessità di trasformazione digitale, di una incrementale aggressività del cyber crime e della crescente fragilità del business.
Per il cyber crime il COVID-19 ha rappresentato una opportunità economica unica e irripetibile, altrettanto ora si può dire, in termini geopolitici, della guerra russo-ucraina. Nei fatti il cyber crime ha raggiunto livelli di complessità e rischio del tutto nuovi.
Ogni azienda che voglia attenuare il rischio associato a queste crescenti minacce ha bisogno di attivarsi.
Allo stesso tempo, però, occorre far sì che la cyber security sia “sostenibile”, non in termini energivori e non soltanto in termini economici, ma da molteplici prospettive, tra cui certamente le tecnologie, ma anche la partecipazione delle persone nella cyber security, adeguando i processi, misurando il rischio associato e, soprattutto, preservando e aggiornando le necessarie conoscenze legate alla sicurezza.
NOTE
A differenza di un’e-mail di phishing normale, che si rivolge a più potenziali vittime, un’e-mail di spear phishing è pensata per un attacco mirato ad un determinato membro particolarmente importante dell’azienda vittima. Nel caso di highly-targeted attacks questa operazione viene portata all’estremo, svolgendo attacchi basati sulla personalità: l’aggressore adatta il contenuto del messaggio al suo particolare obiettivo. ↑
