Nel 2023, le imprese svizzere sono state confrontate ad un aumento del 61% degli attacchi informatici. Come premunirsi contro minacce di questo tipo? Facciamo il punto con Sandro Nafzger, "hacker etico" e co-fondatore dell’impresa Bug Bounty Switzerland.
La tendenza dovrebbe certamente alimentare il dibattito durante gli Swiss Cyber Security Days, che si terranno dal 20 al 21 febbraio a Berna: dal 2019 al 2023, la Svizzera è passata dal quattordicesimo al ventisettesimo posto nel National Cybersecurity Index. Questo indicatore internazionale misura la resilienza dei diversi paesi alle minacce informatiche. Questo forte calo riguarda in particolar modo le aziende: nel 2023 il fornitore di cibersicurezza Check Point ha recensito un incremento del 61% dei ciberattacchi. Una PMI su tre afferma inoltre aver già subito un attacco, nell’11% dei casi, con seri danni. Come sensibilizzare i propri impiegati e limitare i rischi derivanti da tali minacce? Consigli dell’esperto Sandro Nafzger.
La Svizzera sta indietreggiando nelle classifiche dedicate alla cibersicurezza. Perché?
Sandro Nafzger: Le sfide legate al mondo digitale progrediscono rapidamente. Tecnologie come l’IA tendono a far aumentare la frequenza e la gravità degli attacchi. Ma la Svizzera non sta adattando le sue risposte abbastanza velocemente, o almeno non con la stessa agilità e rapidità di altri paesi. Questo è dovuto in gran parte ad aspetti culturali, legati soprattutto a elevate esigenze in termini di qualità. La nostra paura di commettere errori tende a privarci di molte innovazioni o a rallentarne l’adozione.
Gli attacchi riusciti sono spesso il risultato di un errore umano. In che modo questo fattore costituisce la debolezza principale delle aziende?
Nafzger: È fin troppo facile incolpare gli utenti. Se, ad esempio, degli impiegati cliccano regolarmente su link contenenti malware ma l’impresa non reagisce, il problema è anche di natura tecnica. È importante che un’organizzazione raggiunga un alto livello di resilienza. Le misure di prevenzione devono andare al di là delle semplici operazioni di formazione o sensibilizzazione.
Che siano umane o tecniche, le vulnerabilità costituiscono il terreno fertile per i ciberattacchi. Bisogna anticipare costantemente in modo da indentificarli e porvi rimedio. Raccomandata nell’ambito della nostra strategia nazionale di cibersicurezza, la pirateria etica sotto forma di "Bug Bounty Programs" – in altre parole di "ricompensa ai bug" – consiste nell’offrire delle ricompense agli sviluppatori e agli esperti che trovano delle vulnerabilità prima che lo facciano i pirati informatici.
Perché le PMI svizzere sono bersagli privilegiati?
Nafzger: Le grandi imprese sono spesso i bersagli più redditizi, ma dispongono in genere delle competenze e delle risorse necessarie per proteggersi adeguatamente. Di conseguenza, per i criminali informatici è spesso interessante prendersela con imprese più piccole. I loro bersagli ideali sono le aziende che dispongono di abbastanza fondi per accettare dei ricatti, ma che non si proteggono ancora a sufficienza. Svariate PMI svizzere corrispondono a questo profilo e si trovano pertanto ogni giorno un pò più esposte.
Certi settori economici sono più colpiti rispetto ad altri?
Nafzger: La minaccia è in aumento in tutti i settori. Sarebbe perciò un grave errore per un’azienda credere che le sue dimensioni o il suo settore di attività la mettano al riparo da un ciberattacco. Tuttavia, vi sono alcuni settori che devono proteggersi particolarmente bene. Si tratta soprattutto delle cure e della sanità, che usano dati sensibili, del settore pubblico e anche delle infrastrutture vitali per la sopravvivenza di un paese. Un altro aspetto fondamentale concerne i terzi e le catene d’approvvigionamento. Le imprese devono mettere in sicurezza il loro intero ecosistema, che include anche i loro partner e fornitori esterni. È necessario immaginare nuove forme di collaborazione che vadano oltre l’organizzazione interna dell’azienda.
Diverse crisi recenti hanno lasciato il segno. Le imprese sono pienamente consapevoli della portata della minaccia?
Nafzger: Purtroppo la maggior parte delle aziende non ha ancora realizzato di essere sempre più vulnerabile. Spesso lo scoprono a loro spese dopo un attacco informatico. Bug Bounty Switzerland è stata creata per prevenire queste situazioni. Grazie ai ciberattacchi legali che conduciamo con i nostri hacker etici, favoriamo questa presa di coscienza, chiaramente senza causare alcun danno.
È possibile per una PMI assicurarsi un buon livello di protezione?
Nafzger: Certamente! Spesso sono proprio le imprese dalle risorse limitate a prendere le decisioni più intelligenti. Con una buona organizzazione e un minimo di protezione tecnica, le PMI possono già fare molto. Lavorare a stretto contatto con le proprie squadre sviluppando un’intelligenza collettiva permette inoltre di migliorare un po’ di più ogni giorno.
I nuovi strumenti d’IA generativa stanno diventando accessibili a tutti. Creano nuovi rischi specifici?
Nafzger: L’IA è un formidabile acceleratore di velocità ed efficenza. Questi nuovi strumenti vengono evidentemente usati da entrambe le parti, sia per attaccare che per proteggere i sistemi informatici. Noi utilizziamo anche l’IA per la nostra piattaforma collaborativa sulle vulnerabilità. Questo ci permette di rendere la nostra soluzione sempre più efficace.
