Secondo i dati Istat, nel 2021, le Pmi costituivano il 99,6% delle imprese che operavano sul territorio italiano e davano lavoro al 70,7% degli addetti.
L’80% circa delle piccole e medie imprese rientra nella categoria delle micro-Pmi, ossia aziende con al massimo 9 dipendenti.
Questo quadro contribuisce a spiegare perché l’Italia è una delle mete preferite dagli hacker e, da sola, colleziona l’11% degli attacchi gravi censiti a livello mondiale.
Non è quindi un caso che l’Agenzia per la Cyber security nazionale (ACN) si spenda per sensibilizzare le Pmi lanciando campagne informative sui principali canali televisivi.
La convinzione che la cyber security sia un investimento e non un costo secco entra adagio nella consapevolezza degli imprenditori ma, soprattutto quando le capacità di spesa sono risicate, la sicurezza torna a occupare le ultime posizioni nella lista delle preoccupazioni di chi fa impresa.
Indice degli argomenti
La cyber security e le Pmi
L’hacking è la nuova normalità. Non ci sono imprese tanto piccole oppure tanto di nicchia da potere sostenere di essere ragionevolmente al di fuori delle mire degli hacker. Il problema non è chiedersi se si può essere vittime di un attacco, la domanda giusta è chiedersi quando accadrà.
Le campagne di phishing, per fare uno tra i tanti esempi plausibili, non sono per forza di cose mirate a un’azienda o una categoria di soggetti ma possono essere lanciate in massa per irretire il più alto numero di persone, portando con loro un’ondata di ransomware o di malware.
Gli strumenti a basso costo
Si può trovare un buon equilibrio tra cyber security e costo, fermo restando che i lavoratori devono avere almeno un’infarinatura sui rischi a cui viene esposto qualsiasi dispositivo connesso a Internet.
Fornire a dipendenti e collaboratori la formazione utile a identificare una potenziale minaccia non è una perdita di tempo, è un investimento che – unito alle misure per la cyber security – garantisce la continuità del business e, nei casi più estremi, la sopravvivenza stessa dell’azienda.
La formazione di base, che dovrebbe essere impartita da un professionista, può essere erogata in poche ore. Mezza giornata di lavoro da dedicare ai segnali a cui fare attenzione e all’uso elementare di tecniche di controllo e verifica in caso di dubbio non è un impegno che esce dalle possibilità delle Pmi.
Gli antivirus
Il mercato offre diverse soluzioni a costi contenuti. In realtà ci sono anche antivirus gratuiti che, però, sconsigliamo per un uso prettamente professionale.
Oltre a offrire una difesa estremamente basilare, gli elementi a discapito degli antivirus gratuiti sono diversi:
- La presenza di fastidiosi pop-up pubblicitari che raccomandano con una certa ciclicità l’acquisto della versione a pagamento del medesimo antivirus
- La sempiterna (e sempre valida) questione secondo cui, se un prodotto è gratuito, significa che lo si paga in natura (ovvero con i propri dati)
- L’assistenza ai clienti, almeno di norma, viene meno nel caso di antivirus gratuiti.
Resta inteso che, tra non avere un antivirus e averne uno gratuito, quest’ultima opzione è da privilegiare. Tuttavia il mercato offre molte soluzioni a prezzi accessibili, come abbiamo spiegato in questo articolo.
Qui proponiamo tre soluzioni che eseguono scansioni in tempo reale, peculiarità inalienabile all’interno di un’azienda.
Tra le soluzioni a pagamento più vantaggiose che abbiamo avuto modo di provare figurano Bitdefender Ultimate che, per 10 utenti, ha un costo complessivo di 359,99 euro l’anno (3 euro al mese per utente) e garantisce, così come si legge sul sito web del produttore:
- La protezione di 3 server Windows
- La protezione di 20 dispositivi (client)
- La protezione di 20 indirizzi email, 10 dei quali abilitati a Scam Copilot, sistema di verifica delle email sospette
- L’uso di una VPN
- Password manager per la generazione, la gestione e l’archiviazione sicura delle password.
Un’altra soluzione di alto livello a prezzi contenuti è fornita da F-Secure che, per anno solare, ha un costo di 119,99 euro per 10 dispositivi (un euro al mese per dispositivo). Offre delle protezioni pensate per gli utenti privati ma che possono essere declinate a scopi professionali:
- Antivirus propriamente detto
- Sistema di valutazione dei siti ecommerce
- Controllo genitori che consiste nel vietare la navigazione su siti non graditi e ciò si adatta anche alle imprese
- VPN
- Protezione della privacy
- Protezione reti Wi-fi pubbliche.
Norton 360 offre protezione per 10 dispositivi al prezzo di 134,99 euro l’anno (ossia poco più di un euro al mese per dispositivo). Oltre alla canonica protezione dai virus offre:
- Password manager
- 200 GB di backup nel cloud
- VPN
- Dark web monitor, funzionalità che controlla se i dati sensibili dell’utente sono trapelati e sono in vendita online.
Un buon antivirus è essenziale e si trovano ottime soluzioni a costi contenuti. Ciò che occorre prendere in considerazione quando se ne sceglie uno è riassumibile in pochi e semplici punti:
- Protezione in tempo reale
- Facilità d’uso
- Supporto tecnico
- Funzionalità supplementari (come, per esempio, VPN, password manager o protezione antiphishing).
Non avere un antivirus o averne uno non aggiornato equivale a esporsi a rischi incalcolabili.
I firewall
I firewall servono a proteggere una rete da accessi non autorizzati e possono essere hardware o software. I sistemi operativi hanno un firewall nativo che offre un buon grado di protezione, è anche vero che gli hacker, sempre più capaci di aumentare la sofisticatezza degli attacchi che sferrano, riescono ad aggirarli e a sfruttarli a loro vantaggio.
Si può così decidere di avvalersi di un ulteriore livello di protezione, tipicamente affidato da un firewall hardware che può essere configurato in modo semplice (è meglio ricorrere alla consulenza di uno specialista) e che può essere acquistato a prezzi abbordabili.
Ubiquiti EdgeRouter X è una buona soluzione e ha un costo che parte da 60 euro, Mikrotik hEX PoE ha un prezzo di 89 dollari (82 euro circa).
Ci sono ovviamente centinaia di altri firewall i cui prezzi sono molto superiori, anche nell’ordine delle migliaia di euro, ma quelli che abbiamo citato sono adatti al loro scopo, soprattutto nell’ambito delle piccole organizzazioni.
I backup e le risposte
La cyber difesa non si esprime soltanto con il respingere le offensive degli hacker che, per altro, è cosa sempre più complessa. A corredo occorrono delle strategie, ossia delle procedure da attuare quando un attacco è in corso oppure è già stato perpetrato con successo.
Queste misure, in realtà abbastanza semplici all’interno di una piccola o media azienda, andrebbero delineate da professionisti del settore e condivise con tutti i dipendenti. In altre parole, ognuno deve sapere cosa fare in caso di necessità.
Tra queste strategie un ruolo primario è rivestito dalle politiche sui backup, le copie di sicurezza dei file e dei dati aziendali. I metodi e gli strumenti per effettuare dei backup solidi sono molteplici e le abbiamo esposte in questo articolo.
Non basta fare un backup unico perché, per esempio, un attacco ransomware potrebbe infettare anche le copie dei file già salvate. Per questo motivo, il principio di efficacia è garantito dal metodo chiamato 3-2-1 ossia:
- Avere almeno 3 copie di backup
- Conservarle almeno su 2 supporti diversi
- Conservare almeno 1 copia al di fuori della sede aziendale.
Il costo dei supporti per il backup, oggi, si esprime in centesimi di euro per Gibabyte e anche eseguirne una triplice copia ha un prezzo stimabile in pochi euro al mese.
La necessità di avere una copia di backup in un luogo diverso dalla sede aziendale è una sicurezza in più anche contro calamità come allagamenti o incendi. Depositarla in una cassetta di sicurezza bancaria comporta un costo che varia indicativamente dai 50 ai 200 euro annui.
Sistemi operativi e software
I sistemi operativi in uso, così come i software (antivirus inclusi) vanno aggiornati ogni qualvolta i rispettivi produttori rilasciano degli update. Molti di questi, oltre a offrire miglioramenti nell’usabilità, correggono falle nella sicurezza e chiudono le porte che gli hacker possono potenzialmente sfruttare per penetrare nei perimetri delle reti aziendali.
Anche in questo caso, l’uso di software originali e l’acquisto delle licenze dei sistemi operativi sono indispensabili. Hanno costi sostenibili e offrono vantaggi incommensurabili.
BYOD, l’ospite ingombrante
BYOD, acronimo di Bring Your Own Device, è la pratica di consentire ai dipendenti e ai collaboratori di usare i propri dispositivi per scopi professionali, siano questi personal computer, smartphone o tablet.
Gli imprenditori tendono a vedere il BYOD di buon occhio perché riduce i costi a carico dell’azienda ma è una pratica potenzialmente pericolosa per la cyber security. Ci sono politiche e mezzi per ridurre il rischio e possono essere adottate a un costo prossimo allo zero:
- Politiche chiare. Vanno stabilite delle regole chiare e di semplice attuazione che includono la tipologia di dispositivi ammessi, le applicazioni che possono essere usate e a quali dati i dipendenti hanno accesso mediante tali dispositivi
- Uso di una soluzione Mobile Device Management (MDM) che monitora e gestisce i dispositivi che hanno accesso alla rete aziendale. Il mercato offre molte soluzioni di questo tipo a prezzi che partono da 3 dollari al mese per dispositivo (2,75 euro al mese)
- Sistemi di crittografia a tutela dei dati in transito e a riposo
- Autenticazione a due fattori per accedere ai dati aziendali.
Esistono anche soluzioni di ampio respiro che tutelano le fragilità della filosofia BYOD. Tra queste vanno citate:
Sono tecnologie che alzano un po’ il costo di acquisizione ma che offrono garanzie più solide e ampie.
Conclusioni
La cronaca insegna che nessuna impresa è al sicuro dagli hacker e che anche i sistemi di difesa delle realtà aziendali più grandi vengono bucati con danni ingenti dal punto di vista economico e da quello della reputazione.
Pensare di essere troppo piccoli per destare l’interesse del cyber crimine non argina il problema, così come non lo argina il non diffondere la giusta cultura tra i dipendenti. Può bastare un solo uomo, come dimostra il caso della sventata truffa alla Ferrari, a fare cadere il castello degli hacker.
Cultura e tecnologie appropriate sono una risposta forte, ancorché non sempre sufficiente, ma non potervi fare affidamento complica ulteriormente le cose. Si può rendere più complicata la vita al cyber crimine con investimenti contenuti i quali, se non altro, mettono al riparo le aziende da palesi responsabilità e gravi segnali di noncuranza dei dati di cui sono in possesso.