SCENARIO INDUSTRIALE: il 40% delle grandi organizzazioni e il 49% delle Pmi ha confermato un incremento degli attacchi informatici subiti rispetto al 2019. Le cause? Oltre all’abilità dei cybercriminali, fra le opzioni di attacco entrano in gioco fattori strettamente legati allo stato di crisi imposto dal Coronavirus, e cioè la diffusione capillare del remote working, con il conseguente uso massivo di dispositivi personali e reti domestiche, e il boom delle piattaforme di collaborazione.
Da qui la capacità di di trasformare l’emergenza in un’opportunità per rinnovarsi e per aumentare la sensibilità dei dipendenti riguardo alla sicurezza e alla protezione dei dati.
Le aziende più strutturate hanno destinato importanti budget per la cybersecurity, in particolare per tutte quelle azioni legate alla gestione dell’emergenza, e in primis le soluzioni di “endpoint security” (per la protezione di ciascun dispositivo connesso alla rete) e di “network & wireless security” (le soluzioni che difendono l’infrastruttura da accessi impropri). Molto più nebuloso il quadro che riguarda le Pmi: solo il 22% ha previsto investimenti in sicurezza per il 2021, il 20% delle piccole e medie imprese li aveva previsti ma ha dovuto ridurre il budget in seguito all’emergenza, un terzo non ha risorse finanziarie da dedicare alla sicurezza e oltre un quarto non è interessato all’argomento.
Chi gestisce la sicurezza in azienda?
Un’anomalia che il Covid-19 non ha contribuito a risolvere, nonostante un mercato in crescita e il ruolo sempre più strategico della cybersecurity, è la persistente scarsa maturità organizzativa. Solo nel 41% delle grandi organizzazioni, dice in proposito il rapporto, la responsabilità della sicurezza informatica è affidata a una figura specializzata come il Chief information security officer, nel 25% è in capo al Cio mentre nel 38% dei casi analizzati non è prevista nessuna relazione periodica al board circa le azioni messe in campo. Va decisamente meglio con la gestione della data protection, anche per effetto della spinta normativa esercitata dall’entrata in vigore (nel 2018) del regolamento europeo Gdpr: il 69% delle imprese ha in effetti inserito in organico un Data protection officer mentre il restante 31% si avvale di figure esterne.
COME AVVIENE UN ATTACCO INFORMATICO: Più della metà degli attacchi malware in Italia sono condotti con malware trojan bancario, appartenente per il 40% da parte alla famiglia Ursnif, che si conferma essere la minaccia più persistente nel panorama informatico italiano. Subito dopo c’è il malware Emotet. Il 75,6% di file malevoli utilizzati per attaccare le organizzazioni sono malware zero-day e malware appena conosciuti che riescono ad aggirare i tradizionali perimetri di sicurezza. Le aggressioni sono motivate da spionaggio commerciale e industriale o sabotaggio di specifici target che possono avere un impatto su qualsiasi componente hardware o software in produzione. Tra le novità segnalate dal rapporto, l’aumento degli attacchi di “Double Extortion” basati su ransomware che richiedono un doppio pagamento: per riscattare i dati e tacere dell’attacco da parte degli aggressori. Una peculiarità tutta italiana è quella legata all’uso della posta certificata (PEC) come strumento per colpire le aziende. Lo stratagemma, che fa leva sulla presunta “ufficialità” dello strumento di comunicazione, viene utilizzato principalmente in attacchi m irati che hanno come obiettivo impiegati o dirigenti delle aziende.
Una delle ultime tattiche adottate dai cyber criminali è la compressione degli allegati all’interno di un file di archivio (zip, gzip o rar, 7zip) per poi crittografarli con una password citata all’interno del corpo della mail. Metodo semplice ma efficace per i cybercriminali. Un’altra tecnica ampiamente utilizzata nel 2020 è stata l’abuso di XLM Macro 4.0. Si tratta di una tecnologia legacy ancora supportata nelle moderne suite Office, che sono state abusate per eludere il rilevamento antivirus e antispam delle classiche firme antivirus e consentire la seconda fase della catena di infezioni da malware.
QUALI STRUMENTI DI PROTEZIONE E TRASFERIMENTO DEL RISCHIO: Un buon consulente informatico può impostare un sistema informativo affidabile e tenerlo aggiornato in base alle necessità. Il passo successivo è affidarsi ad un consulente esperto in sicurezza dei sistemi, al fine di individuare le vulnerabilità del sistema: questo è necessario in quanto non esiste un sistema “aperto” e in comunicazione con l’esterno che sia privo di vulnerabilità.
Conoscere i propri punti deboli è il primo step per gestirli con i seguenti strumenti:
- informazione e formazione finalizzati a creare una cultura aziendale sui rischi informatici;
- adattamenti tecnici finalizzati a prevenire il verificarsi dei danni (rilevazione continua delle minacce, filtri, crittografia dei dati, aggiornamento e monitoraggio periodico dei sistemi, etc.);
- adattamenti tecnici finalizzati a diminuire l’entità dei danni, ove si dovessero comunque verificare (backup, sistemi ridondanti e compartimentazione, etc.);
- stesura di un Disaster Recovery Plan per la gestione efficiente delle emergenze;
- Policy aziendale che ricomprenda il processo di risk management (individuazione, analisi e gestione, trasferimento del rischio).
2 marzo 2021
