Cybersicurezza

Service navigation

Context sidebar

Cybersicurezza

Cybersecurity

Una PMI svizzera su tre è già stata vittima di un attacco informatico e il rischio è in continuo aumento, secondo l'Ufficio federale della cibersicurezza (UFCS). Come proteggere al meglio la propria azienda da questi rischi?

Furto, estorsione, ricatto, sabotaggio… I ciberattacchi rappresentano il prolungamento della criminalità del mondo fisico in un ambiente dematerializzato. Tuttavia, la portata del rischio rappresentato da questi attacchi è ancora spesso sottovalutata dai dirigenti delle PMI svizzere – che rappresentano il 99,7% delle imprese del paese. L’iniziativa digitalswitzerland propone un test rapido concepito appositamente per le PMI che desiderano valutare il loro grado di esposizione al rischio, ma vi sono anche alcune buone pratiche da adottare per ridurre sia il livello di rischio che la gravità dell’attacco.

1. Fare un inventario delle proprie apparecchiature ed effettuare regolarmente dei backup

La prima misura da implementare per ridurre i rischi consiste nell’elencare tutti i dispositivi (PC, tablet, smartphone, stampanti, dischi duri esterni, chiavette USB…), software e dati da proteggere. Questo elenco, stilato almeno una volta all’anno, permette di sapere cosa proteggere, definendo al contempo gli elementi essenziali al buon funzionamento dell’impresa. I dirigenti devono anche accertarsi che le loro licenze d’uso siano valide – un controllo importante sia dal punto di vista legale che per la manutenzione. Un’altra tappa indispensabile consiste nell’elencare i diritti d’accesso, in modo da determinare chi può accedere a cosa e prevedere diversi livelli di accesso (visitatori, utenti o amministratori), con delle autorizzazioni sempre più rigorose per ridurre la "superficie" esposta. In caso di intrusione, più alto è il livello d’accesso, più i danni saranno importanti.

Ogni PMI deve anche assicurarsi di salvare regolarmente i propri dati per garantire un ripristino più rapido delle proprie attività nell’eventualità di un incidente, soprattutto in caso di attacco ransomware. Anche se la natura dei dati essenziali cambia a seconda dell’attività di ogni impresa, alcuni sono sempre critici: schede del cliente, posta elettronica, contratti, dati contabili… La frequenza del salvataggio va determinata caso per caso, in funzione della quantità di informazioni prodotte. È inoltre importante combinare salvataggi online e offline. I primi permettono un ripristino rapido ma restano però esposti a degli attacchi. Sebbene non siano esenti da malfunzionamenti, i secondi – come, ad esempio, un disco esterno – sono invece disconnessi dalla rete.

2. Sensibilizzare i collaboratori sull’utilizzo di password robuste

Molti attacchi informatici avvengono perché le password usate dai dipendenti sono troppo semplici. Secondo uno studio dell’assicurazione AXA, solo una PMI su due ha definito delle regole in questo ambito.

Vale la pena ricordare ai propri collaboratori il modo in cui operano i pirati informatici. La pratica più frequente consiste nell’uso della forza bruta: l’hacker moltiplica le possibili combinazioni fino a trovare quella giusta. Può anche restringere il campo, concentrandosi sulle possibilità più frequenti come dei nomi comuni, una sequenza di cifre (0000) o di lettere (qwerty). Può infine provare delle soluzioni ispirandosi a informazioni accessibili online, in particolare sugli account privati dei dipendenti, tentando di indovinare un soprannome, i nomi dei famigliari o il nome di un animale domestico.

L’UFCS reputa che una password robusta debba contare almeno dodici caratteri (quindici per gli accessi critici) e combinare dei caratteri speciali (come "&" o "£"), dei numeri e delle lettere, in maiuscolo e minuscolo. Non vi dovrebbe figurare nessun elemento personale (data di nascita, nome…). È poi importante non usare la stessa password per accedere a diversi software o siti. Questa precauzione permette di isolare gli identificatori in caso di attacco riuscito. È inoltre indispensabile consigliare ai dipendenti di non utilizzare le stesse password nella sfera professionale e in quella personale.

Un’alternativa consiste nel generalizzare l’autentificazione a due fattori (2FA): quando questa viene introdotta, la sola password non sarà più sufficiente e l’utente dovrà fornire un’ulteriore informazione per accedere al suo account, ad esempio comunicando un codice ricevuto via SMS o ricevendo un link d’accesso unico.

3. Rispettare alcune misure tecniche

Firewall e antivirus

Gli antivirus e i firewall permettono l’identificazione dei programmi e dei file dannosi. Per questa ragione è fondamentale installarli e aggiornarli costantemente, tanto più che centinaia di migliaia di virus o codici dannosi vengono rilasciati ogni giorno. La maggior parte degli antivirus presenti sul mercato propone un aggiornamento e scansioni di rete automatiche. Bisogna pertanto procedere immediatamente con la loro attivazione nelle impostazioni.

Accesso remoto

Con lo sviluppo del lavoro da casa o itinerante, la questione dell’ accesso remoto diventa sempre più importante in quanto molti dipendenti lavorano da luoghi pubblici o sui trasporti pubblici, con rischi specifici che alcune buone pratiche contribuiscono a ridurre.

La principale consiste nel non connettere mai apparecchi personali o di terzi ai propri dispositivi professionali. È inoltre preferibile non connettere la propria postazione a dei captive portal (commerci, hotel, ecc.), privilegiando invece la condivisione della connessione con il proprio cellulare. Infine, l’azienda deve essere informata tempestivamente in caso di furto.

Proteggere la propria posta elettronica

La posta elettronica resta la prima falla sfruttata dagli hacker, che sia per inviare un software fraudolento con un allegato o per incitare a cliccare su un link che porta a un sito dannoso. È quindi importante sensibilizzare i propri collaboratori, ricordando loro che prima di aprire un link bisogna accertarsi che il mittente sia conosciuto, che l’indirizzo sia credibile e che l’oggetto del messaggio rientri nella normalità: questo permette di ridurre il rischio di attacco. In caso di dubbio, può rivelarsi utile verificare l’autenticità del messaggio attraverso un altro canale (telefono, SMS, ecc.) presso il mittente. Altre pratiche riguardano misure tecniche, come l’istallazione di un anti-spam e di una soluzione anti-phishing per aumentare le capacità di riconoscere dei tentativi di phishing. L’UFCS propone anche una lista di formati di file considerati rischiosi.

4. Esternalizzare le procedure di sicurezza

Contrariamente a molte grandi imprese, le PMI scelgono spesso di rivolgersi a un fornitore specializzato per assicurarsi una protezione contro i rischi di tipo cibernetico. Questa è sicuramente una buona idea, soprattutto per la gestione dei server e delle caselle di posta, ma la scelta del fornitore risulta essenziale. Essa dipende dai bisogni, dalle priorità e dalle risorse di ogni PMI. I giganti del web propongono delle soluzioni chiavi in mano, spesso meno onerose rispetto ai partner locali, ma questi ultimi archiviano i dati sensibili in Svizzera e sono spesso più reattivi in caso di bisogno. Diverse certificazioni permettono di distinguere i fornitori riconosciuti, come il marchio di sicurezza CyberSeal o Cyber-safe, specificamente sviluppati dall’Associazione svizzera per il marchio di cibersicurezza destinato alle PMI. Questi marchi o certificazioni permettono di accertarsi che il fornitore scelto rispetti le norme riconosciute in materia di protezione dei dati (vedi la Nuova legge sulla protezione dei dati (nLPD)) e di sicurezza, e possieda il savoir-faire richiesto.

5. Conoscere le principali modalità d’azione dei pirati informatici

Per infiltrarsi nella rete di un’azienda, i pirati utilizzano strumenti capaci di sfruttare delle falle umane o tecniche, oppure una combinazione di entrambe. Gli attacchi più frequenti sono i seguenti.

La manipolazione

Pratica di pirataggio psicologico, il social engineering consiste nell’indurre dei dipendenti a prendere una decisione nefasta manipolandoli in diversi modi. Utilizzando delle informazioni in libero accesso sul sito dell’azienda o sugli account dei social media di un impiegato, un pirata può infatti attirare la sua attenzione facendo leva sulle emozioni e sull’empatia. Può anche rassicurarlo facendosi passare per una persona di fiducia: un famigliare, un collega…

I malware

Per malware si intendono tutti i programmi, come i virus, sviluppati allo scopo di nuocere a un sistema informatico e parassitare le sue risorse (dati, memoria, rete). Questi programmi sfruttano tutti i mezzi a disposizione al fine di riuscirvi: posta elettronica, condivisione di file, pagine internet fraudolente, chiavette USB…

Il phishing

Un tentativo di phishing è una tecnica che permette di sottrarre informazioni sensibili passando attraverso un falso mail/SMS la cui natura sembra innocente: consegna di pacchi, conferma di ricezione o anche conferma d’identificazione. Cliccando sul link o scaricando un allegato, il dipendente diffonde senza esserne consapevole un malware nella rete dell’azienda.

La truffa del CEO

Versione cyber dell’appropriazione indebita, questo tipo di trappola consiste nel chiedere a una persona che è potenzialmente in possesso di informazioni bancarie sensibili, di effettuare un versamento presentato come urgente o confidenziale, utilizzando l’identità di un quadro dirigente.

Denial of service (DDoS)

Inondando i server informatici con richieste di connessione, i pirati informatici possono saturare la banda passante del server e prosciugare le risorse di un sistema per renderne impossibile l’accesso.

I ransomware

Un ransomware permette di bloccare i computer o certi file essenziali al funzionamento di un’impresa. Il pirata informatico esige poi un riscatto in cambio dello sblocco. Questa infezione può aver luogo dopo l’apertura di un allegato manomesso, navigando su siti compromessi o a seguito di un’intrusione nel sistema.

6. Reagire tempestivamente in caso di emergenza

Se si è verificato un incidente, il primo riflesso consiste nel disconnettere i dispositivi dell’impresa dal web (tramite connessione via cavo o Wi-Fi), ma senza spegnere i computer colpiti. Questo permette di contenere le azioni dei pirati informatici e soprattutto di ridurre le fughe di dati. In caso di ransomware, nonostante si possa essere presi dal panico, la regola basilare è di non pagare il riscatto richiesto: vi sono infatti diverse altre soluzioni di decriptazione.

Di fronte a qualsiasi tipo di attacco, è inoltre fondamentale informare i propri partner, per evitare un’eventuale propagazione dei danni – ipotizzando che gli hacker siano riusciti a reperire delle informazioni che possono sfruttare, come dei portachiavi di password o dei dati sensibili.

Conviene inoltre annunciare al Ufficio federale della cibersicurezza (UFCS) qualsiasi incidente, anche se non si è verificato alcun danno o se si è trattato soltanto di un tentativo di attacco. Queste precauzioni permettono di facilitare il compito dei professionisti e degli investigatori in caso di denuncia: non è obbligatorio comunicare i ciberattacchi alle autorità competenti, ma l’UFCS invita tuttavia a non sottovalutare l’importanza di una seganalzione per far progredire la risposta della giustizia e combattere le minacce informatiche a lungo termine.

Informazione

Link

Rapporti semestrali - Ufficio federale della cibersicurezza (UFCS)

Quick Check per le PMI (soltanto in francese)

Promemoria sulla sicurezza delle informazioni per le PMI

Sicurezza delle informazioni – La situazione in Svizzera e a livello internazionale

Segnalazione di un incidente a l'Ufficio federale della cibersicurezza (UFCS)

Studio AXA: soltanto una PMI su due ha stabilito delle linee guida in materia di password

In discussione

Come preparare una PMI ai cyberattacchi

Le piccole imprese tendono a minimizzare i cyberattacchi

"Definire precisamente il modo in cui il personale deve gestire i dati professionali"

Ultima modifica 08.02.2024

Inizio pagina

https://www.kmu.admin.ch/content/kmu/it/home/fatti-e-tendenze/Cybersicurezza.html