di Riccardo Sandre ♦ Cresce la minaccia cybercrime per le imprese italiane, ma resta bassa la consapevolezza del pericolo, così come gli investimenti in sicurezza. Secondo i dati del Clusit si attrezzano solo le grandi imprese. L’analisi della situazione, lo stato dell’ arte delle difese e la ricetta antihackers per le pmi di Microsoft e Ibm: servizi in cloud e formazione degli esperti.
Cybersecurity. Quello che era ritenuto fino a poco tempo fa un tema tecnico per pochi eletti, si sta trasformando rapidamente in elemento dirimente della gestione aziendale. Il proliferare delle tecnologie IoT infatti apre nel contempo la strada ad attacchi informatici capaci di metterne in crisi non solo i dati ma pure l’operatività delle linee produttive. Gestire al meglio la cybersecurity si traduce così in un vero e proprio vantaggio competitivo anche per le imprese di filiera, nodi di un processo di produzione i cui livelli di sicurezza sono quelli del proprio anello più debole.
Pmi non è sinonimo di necessità di piccola e media sicurezza, anzi
Nel mondo, secondo una stima di IDC Analyze, il business del cybercrime valeva nel 2016 ben 650 miliardi di dollari; nel 2020 arriverà a 1.000 miliardi superando di fatto quello del traffico di droga. Per quello che riguarda il nostro Paese, secondo una stima del Verizon data Breach Report 2015, l’aggressione informatica è costata alle aziende circa 9 miliardi di euro. Nonostante questo in Italia meno di un‘azienda su quattro ad oggi sceglie di denunciare l’attacco e preferisce pagare un riscatto. Si rivolge direttamente a consulenti che possono riparare i sistemi invece affidarsi ai canali istituzionali della Polizia Postale o alle altre Forze dell’Ordine.
Secondo i dati forniti da un’analisi di Microsoft, le pmi italiane temono principalmente il furto dei dati dei propri clienti (20%), danni alla propria reputazione aziendale (17%) ma pure furti di denaro (11,5%), di identità (7,5%) o dei dati dei dipendenti (6,5%). «Le Piccole e medie imprese non hanno bisogno solamente di una piccola e media sicurezza, anzi» ha detto Carlo Mauceli National Digital Officer di Microsoft Italia, recentemente ospite assieme a Clusit e Ibm a Confindustria Vicenza, di un convegno dal titolo “CyberSecurity4Factory – Viaggio in sicurezza verso la digital-era“. «Un antivirus non basta affatto per garantire la sicurezza dei propri dati e di quelli del propri clienti e fornitori, perché solo 45% degli attacchi è coperto da questa tipologia di software. Per questo stiamo cercando di introdurre anche in Italia un più massiccio uso dei servizi in Cloud che in Europa sono già molto utilizzati. Microsoft investe ogni anno un miliardo di euro in ricerca nel settore e può fornire , sui quattro assi della sicurezza informatica, quello della cybersecurity in senso stretto, quello della tutela della privacy, della compliance e della trasparenza, la garanzia di livelli di indiscussa competenza.
Il cloud è la difesa più efficace per le imprese di piccole e medie dimensioni
I servizi in cloud, dal semplice storage di dati fino alla gestione di mail ed altro ancora, offrono non solo una più facile accessibilità agli utenti, indipendentemente da dove si trovino o da che tipo di device utilizzino, ma garantiscono pure livelli di protezione ben più sofisticati di quelli che una singola azienda può pensare di mettere in piedi in autonomia. Analizzando poi le principali tipologie di attacco emerge come oltre il 75% degli attacchi arrivi da mail infette. Mail che gli antispam bloccano in circa l’80% dei casi ma che lasciano esposti gli utenti ad un 20% di possibili ransomware potenzialmente deleteri».
La top ten degli hackeraggi globali
I casi di attacchi disastrosi, di quelli che per giorni interi sono stati capaci di bloccare le linee produttive di imprese internazionali, non sono più fenomeni isolati o eventi eccezionali. A luglio scorso i dati di 400 mila clienti Unicredit furono aggrediti da hacker tutt’ora sconosciuti. Un mese prima il più celebre “ransomware” del 2017, Wannacry (una specifica tipologia di codice malevolo che richiede un riscatto per essere eliminato), colpiva indistintamente la centrale nucleare di Chernobyl, il colosso della navigazione Moller-Maersk, l’azienda di produzione di materiali edili francese Saint Gobain e altre centinaia di migliaia di imprese nel mondo.
Nel 2016, l’anno più nero per numero e gravità delle aggressioni informatiche nel mondo, furono colpiti a più riprese i server di Yahoo, quelli dell’Nsa, di Linkedin e del Dipartimento di giustizia statunitense così come , molte infrastrutture critiche e sistemi delle pubbliche amministrazioni di tutto il mondo. L’anno precedente era stata l’Ucraina a subire uno dei più sconcertanti attacchi della storia, quello che aveva lasciato senza corrente elettrica per giorni centinaia di migliaia di aziende e persone nell’ovest del paese.
E in Italia? Alcuni casi eclatanti
E le aziende italiane non sono esenti da aggressioni devastanti: nel 2015 tutti i bozzetti dell’ultima collezione 0-12 di Benetton furono sottratti per ricomparire come vestiario nei negozi del Medio Oriente mentre solo nel giugno scorso la multinazionale delle macchine agricole Maschio Gaspardo vedeva due interi stabilimenti oscurati, con gli operai a casa per giorni, a causa di un virus che ne aveva fermato la produzione. L’anno scorso, secondo i dati di Microsoft, l’Italia ha subito il 7% circa di tutti gli attacchi informatici del mondo, con un incremento del 120% rispetto al 2015, diventando ad oggi il secondo paese per numero di aggressioni, dopo gli Stati Uniti.
«Esistono due tipi di aziende» ha spiegato Mauceli «quelle che hanno subito almeno un attacco informatico e quelle che non lo sanno. Il tempo di riconoscimento medio di un attacco è infatti di oltre 7 mesi durante i quali i dati sensibili dell’azienda, dei clienti e dei fornitori rimangono a disposizione di cybercriminali che nulla hanno a che fare con i ragazzini geniali e fondamentalmente buoni che irrompono sulla scena dei film fra schermi di computer e server giganteschi. Il cybercrime è un business miliardario e nessuno è al sicuro perché chi ruba le mie credenziali, i dati della mia azienda o dei miei fornitori si mette nelle condizioni di potere agire con la mia identità, facendo come meglio crede e lasciando che le conseguenze ricadano sulla vittima ignara».
Una casistica di attacchi di modalità varie e in continua evoluzione
E pure se per Microsoft molte delle aziende vittima degli hacker sono state oggetto di malware spesso datati, le tipologie di attacco più frequenti sono i Ddos e le Botnet (in cui il proprio Pc reagisce come uno zombie a un controllo remoto che impone azioni ignote al titolare della postazione) le SQL Injection e gli APT (Advanced Persistent Threat), gli attacchi “man-in-the-middle”, i Keylogger e, per la vulnerabilità dei siti web, i rischi legati a WordPress e ai CMS open source ecc. E in questa selva di nomi e di tipologie c’è anche il Trojan horse crittografico detto ransomware, di cui un esempio è stato il celebre Wannacry, uno dei più frequenti aggressori delle nostre imprese: un malware che entra nei sistemi spesso tramite mail phishing, un modello di diffusione su vasta scala di mail che invogliano l’utente a cliccare una finestra grazie alla quale il sistema scarica un virus che cripta i dati e chiede un riscatto per restituirli alla disponibilità dei legittimi proprietari.
Un sistema che nelle sue versioni più recenti, oltre a criptare i dati, li copia e li spedisce all’attaccante che poi li rivende liberamente scardinando dalle basi tutte le logiche di privacy previste dalla legge. Secondo i dati presentanti da Microsoft le campagne di mail phishing per la diffusione di ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20%. E se di questi solo circa il 3% cade effettivamente vittima del ransomware, ben il 93% di chi è stato colpito ha accusato downtime e perdita di dati. Il riscatto richiesto non è esoso, va dalle poche centinaia alle migliaia di euro, e le aziende, nella stragrande maggioranza dei casi, scelgono di pagare in bitcoin o altra criptovaluta cifre non enormi pur di tornare in possesso dei propri strumenti di lavoro. Un sistema che fa accumulare agli attaccanti, che puntano su un numero comunque significativo (pure se percentualmente basso) di aggressioni andate a buon fine, cifre enormi.
L’ Iot ventre molle della sicurezza informatica
A fronte di una crescita degli attacchi del 120% in un solo anno, secondo i dati presentanti da Clusit (Associazione Italiana per la Sicurezza Informatica), per il 2017 la spesa in sicurezza informatica in Italia è aumentata solo di un 5% rispetto al’anno precedente, passando da 926 a 972 milioni di euro. Cifre che per i tre quarti sono state sborsate dalle grandi imprese italiane e solo per il 26% circa dalle pmi. «L’IoT è il ventre molle della sicurezza informatica» avverte Sergio Fumagalli, Membro del direttivo di Clusit e del coordinamento di Europrivacy.info.
«La stratificazione delle tecnologie, dei software e dei macchinari che un’azienda introduce in tempi via via successivi crea equilibri delicati fra macchinari e sistemi diversi. Un equilibrio che rischia di incepparsi ad ogni aggiornamento, elemento quest’ultimo fondamentale per evitare attacchi anche banali ma non per questo meno dolorosi. Trovare una soluzione in grado di garantire una stabilità diventa sempre più un elemento necessario per le imprese che lavorano sul mercato consumer come per quelle che fanno parte di una filiera: in quest’ultimo caso la cybersecurity diventa vieppiù un fattore competitivo che contraddistingue a parità di prodotto un’azienda dall’altra.»
Per Fumagalli infatti “ E’ chiaro che chi lavora per conto terzi ha contatti strettissimi con le più grandi aziende clienti. Un caso eclatante del passato recente è stato quello di una piccola azienda statunitense che aveva in mano il controllo e la gestione da remoto dei sistemi di refrigerazione di una grande realtà della Gdo: l’aggressione mirata a questa piccola azienda ha causato milioni di dollari di danni al gruppo che aveva visto i propri frigoriferi spenti il tempo necessario per rovinare i prodotti conservati. E sono tante le pmi che tra i propri servizi contano quelli legati alla manutenzione da remoto di impianti e infrastrutture critiche in Italia e in altri paesi del mondo».
Il nuovo regolamento sulla privacy UE
In una realtà che cambia anche le regole si fanno più stringenti: dal maggio 2018 infatti entrerà in vigore il nuovo regolamento sulla privacy della Ue classificato come 679/2016, una normativa che porrà nuove e più stringenti regole di gestione dei dati per le imprese: regole che prevederanno una seria analisi dei rischio da parte delle aziende, l’individuazione di specifiche contromisure, l’introduzione di una data di scadenza ai dati posseduti da una società ma pure la verifica periodica dei sistemi di sicurezza, la formazione degli operatori, l’obbligo di denuncia entro 72 ore dall’avvenuto attacco informatico e molto altro ancora. Un regolamento che prevede anche sanzioni pesanti (fino ai 20 milioni di euro o fino al 4% del fatturato) per la società che, in caso di attacco, non fosse in regola con gli adempimenti normativi.
La difesa deve partire dalla prima linea e dalle prassi più banali
E se le stime del centro di ricerca IBM X-Force dell’omonimo colosso internazionale dell’informatica, segnalano come tra 2015 e 2016 sia quadruplicato il numero di dati trafugati nel mondo (raggiungendo l’anno scorso i 4 miliardi) Marco Bresciani, Security Strategist Europe di IBM, ha posto l’accento sul tema centrale della formazione degli utenti che sono “un anello debole e che devono costituire la prima linea di difesa”.
«Si stima che per ridurre la drammatica esposizione del Paese ci sarebbe la necessità di avere a disposizione circa 1,5 milioni di operatori professionalizzati in linea» ha detto Bresciani «un numero di esperti che l’Italia ad oggi non è in grado di formare in tempi brevi. Ibm sta lavorando a sistemi di Intelligenza Artificiale in grado di reagire in autonomia a una moltitudine di situazioni potenzialmente pericolose orientando le risorse umane competenti unicamente verso quelle di più estrema gravità. Ma è pure vero che per ridurre considerevolmente i rischi è fondamentale affrontare il tema della sicurezza informatica a tutti i livelli, partendo dalla formazione in questo ambito.
Bresciani ricorda che «In Gran Bretagna il National Cyber Security Center (NCSC) legato all’MI5, il servizio di contro spionaggio inglese, offre alle pmi semplici liste periodiche delle azioni fondamentali da mettere in campo per evitare di diventare facile preda di attacchi che hanno la loro forza nel numero delle potenziali vittime contattate: i backup frequenti dei dati in aree non esposte alla rete, la protezione da malware, l’utilizzo di device sicuri (Smartphone, tablet ecc che se persi non siano facilmente accessibili a terzi), l’utilizzo di password un po’ più articolate dei soli primi 5 numeri della tastiera.
Con l’attenzione al phishing tutti questi costituiscono, se vogliamo, presidi minimi ma fondamentali per ridurre, anche di molto, l’esposizione potenziale di imprese e istituzioni che continuano ad essere bersaglio privilegiato di hacker che sempre più lavorano per organizzazioni criminali. Perché, è bene ricordarlo, l’utente finale, quello che apre il Pc dalla propria postazione di lavoro, per quanto periferica possa essere, è l’anello debole ma pure la prima linea di difesa contro attacchi informatici che possono essere devastanti per l’impresa e possono costare anche decine e centinaia di milioni di euro».
[…] https://www.industriaitaliana.it/cybercrime-allarme-pmi/ […]