Attacchi hacker, la “falla” è nelle aziende
Le tecnologie per difendersi ci sono, ma scarseggia la cultura della sicurezza e così si perdono il tempo, le risorse ed il denaro investito in tecnologie informatiche; l’Italia è nel mirino degli hacker e le piccole aziende sono quelle più a rischio!
Tra il 2016 e l’inizio del 2017 il nostro Paese ha visto un’impennata dagli attacchi hacker. C’è stata la vicenda Eyepyramid, costituita da malware creati ad hoc per spiare le e-mail e le conversazioni di noti esponenti della politica. Senza dimenticare lo scandalo degli attacchi hacker alla Farnesina nel 2016. Anche il Clusit nel suo report inserisce l’Italia come uno dei primi obiettivi mondiali per i cyber criminali.
Nel nostro Paese e si è notato come negli ultimi mesi siano cresciuti in maniera esponenziale i numeri riguardanti gli attacchi ad aziende piccole e micro. Il problema è dato spesso dalla poca formazione e dalla scarsa conoscenza del tema. Le richieste degli hacker quando colpiscono un’azienda di ridotte dimensioni sono abbastanza basse e spesso chi gestisce l’azienda preferisce pagare 100-200 euro piuttosto che denunciare o approfondire l’argomento. Il settore più colpito è la sanità, seguito dalla grande distribuzione e dalla finanza e non a caso a metà febbraio il Governo ha aggiornato il decreto ministeriale in materia di sicurezza informatica.
Tra gli ultimi fatti abbiamo visto che a ferragosto gli hacker hanno attaccato i siti di “Corriere della Sera” e “Gazzetta dello Sport”. Le due testate su Facebook hanno fatto questa dichiarazione: “Abbiamo subito un attacco hacker, siamo al lavoro per risolvere i problemi. Grazie per la pazienza. I tecnici sono al lavoro per risolvere i problemi e capire quanto accaduto.“
Attacchi troppo complessi affinché vengano adottate le misure necessarie alla prevenzione o ancora troppa resistenza nell’adottarle?
La risposta è NO! Le infrastrutture e le tecnologie esistono, ma il concetto di sicurezza dovrebbe probabilmente essere affrontato in maniera ben più ampia, partendo da una vera e propria cultura aziendale che riguardi non solo il proprio sistema informatico ma anche, e forse ancor prima, quello informativo.
Purtroppo manca ancora una cultura che sensibilizzi a dovere sulla sicurezza del dato, prima ancora dell’adozione di strumenti informatici di prevenzione.
Le aziende dovrebbero cioè concentrarsi non solo sul mettere in sicurezza le tecnologie e gli apparati elettronici, ma anche sull’educare a un atteggiamento “sicuro” tutte le risorse umane all’interno dell’azienda finalizzate alla gestione dei dati prodotti durante l’esecuzione dei processi aziendali. Le stesse aziende oggi hanno sicuramente colto l’importanza di installare antivirus, non più ritenuta una spesa inutile, ma difficilmente comprendono l’importanza di diffondere una cultura della sicurezza all’interno dell’azienda. Il che significa, ad esempio, fare attenzione ai device esterni che vengono collegati ai PC aziendali, proteggere documenti sensibili e password di accesso, etc.
Negli ultimi anni i service provider si sono evoluti fornendo pacchetti di sicurezza sempre più completi perché, se i primi attacchi di massa erano facilmente gestibili con un comune antivirus, quelli vissuti negli ultimi tempi sono attacchi più specifici e mirati e richiedono soglie di sicurezza molto più elevate.