Alla luce dei recenti attacchi informatici ecco 15 suggerimenti economici per la sicurezza dei dati:
WannaCry ha fatto capire che gli attacchi non sono più diretti solo verso banche e multinazionali: le PMI sono facilmente colpibili e attraverso le loro vulnerabilità si possono colpire le grandi aziende a capo. Una recente analisi definisce 15 “controlli essenziali” attuabili anche in piccole realtà da personale senza competenze IT. Con stime di costi e linee guida per realizzarli
Con WannaCry, il recente attacco informatico in corso in tutto il mondo sono stati infettati centinaia di migliaia di computer di privati, istituzioni e aziende attraverso un virus “ransomware”, che tecnicamente rende inaccessibili i dati sui computer, a meno di non pagare un riscatto agli hacker. Riscatto che però, sottolineano tutti gli esperti, non dà affatto la garanzia di riavere l’accesso ai propri dati.
Ma WannaCry è solo l’episodio più recente. Quasi ogni giorno i media riportano notizie di violazioni di sistemi informativi con sottrazioni di dati sensibili (anagrafiche clienti, estremi di carte di credito, brevetti industriali, ecc.) che comportano costi e danni anche molto ingenti.
Il problema è che i “cyber-criminali” non attaccano soltanto banche e grandi multinazionali: gran parte del loro fatturato deriva da attacchi a migliaia di medie, piccole e micro imprese. Attacchi che non leggiamo sulle prime pagine ma che possono minare la sopravvivenza stessa di queste realtà, molto meno preparate delle grandi imprese ad affrontare richieste di riscatto o di risarcimento, e forti cali di reputazione e di immagine.
Eppure molti degli attacchi alle PMI sarebbero arginabili, perché sfruttano vulnerabilità̀ molto banali nei loro sistemi informativi, o la scarsa consapevolezza del personale interno sui rischi di certi comportamenti o omissioni. Proprio WannaCry per esempio sfrutta una vulnerabilità di vecchie versioni di Windows che Microsoft ha corretto lo scorso marzo: per cui attacca soltanto computer che non vengono aggiornati da mesi.
Il concetto cruciale è che la vulnerabilità informatica delle PMI non è un problema solo delle PMI, anzi. Il loro livello di difesa di fronte ai cyberattacchi è decisivo per la sicurezza di intere filiere produttive. Un numero crescente di attacchi a grandi imprese capo-filiera avviene infatti attraverso vulnerabilità̀ nei sistemi di qualche loro piccolo fornitore, come dimostra il noto caso di Target, la catena di supermercati discount che ha subito il furto di oltre 40 milioni di dati relativi a carte di credito personali a causa di un attacco informatico su un suo fornitore di sistemi di raffreddamento.
E questo è un rischio destinato a crescere ulteriormente per la forte trasformazione digitale in corso del manifatturiero (Industria 4.0) che aumenterà̀ l’integrazione nelle supply chain, e quindi la “superficie potenziale d’attacco”. In effetti, la Cybersecurity è proprio uno degli ambiti in cui sono previsti incentivi agli investimenti dal piano governativo per Industria 4.0 (Piano Calenda).
Per questo il CIS (Research Center of Cyber Intelligence and Information Security) dell’Università La Sapienza di Roma, e il Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica), hanno definito 15 Controlli Essenziali di Cybersecurity, derivati attraverso un processo di progressiva semplificazione dal Framework Nazionale di Cybersecurity (FNCS), pubblicato un anno nell’Italian Cybersecurity Report 2015.
I 15 Controlli essenziali, si legge nel “2016 Italian Cybersecurity Report” del CIS Sapienza e del CINI, sono stati selezionati attraverso un processo di consultazione pubblica a cui hanno partecipato oltre 200 esperti di settore, e sono pensati come punto di partenza di un percorso virtuoso che porti le piccole e micro imprese a implementare misure di sicurezza via via più̀ complesse e articolate aderenti al FNCS.
Oltre a formulare i 15 Controlli, il documento li illustra attraverso casi reali, e fornisce una guida pratica per implementarli. Inoltre propone una stima dei costi per alcuni casi-base, da cui emerge che i controlli sono di facile ed economica implementazione.
Il panorama economico italiano è costituito, nella stragrande maggioranza, da imprese medie, piccole e piccolissime che non hanno personale specifico dedicato alla cybersecurity, spiega il report. “In molte di queste realtà̀ i computer vengono usati in modo promiscuo (lavoro e tempo libero), i server risiedono in luoghi non protetti e non si sa quanti e quali computer possano connettersi alla rete, dove siano attestati i dati aziendali, la proprietà̀ intellettuale, le metodologie di produzione, i progetti innovativi, il libro clienti ecc.”. Ecco spiegata quindi la necessità dei 15 Controlli, definiti “misure minime di sicurezza, spiegate in modo semplice e facilmente attuabili da un amministratore di sistema di un’azienda piccola o media, senza specifiche conoscenze di sicurezza informatica
In dettaglio, i 15 controlli sono i seguenti:
- Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso entro il perimetro aziendale.
- I servizi web (social network, cloud, e-mail, spazio web, ecc.) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
- Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché́ siano adeguatamente protetti.
- È stato nominato un referente responsabile per il coordinamento delle attività̀ di gestione e protezione delle informazioni e dei sistemi informatici.
- Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
- Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.
- Le password sono diverse per ogni account, della complessità̀ adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più̀ sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
- Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più̀ utilizzati sono disattivati.
- Ogni utente può̀ accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
- Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, usare solo software autorizzato, ecc.). I vertici aziendali hanno cura di predisporre per tutto il personale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
- La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
- Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (definiti al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
- Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
- In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
- Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più̀ aggiornabili sono dismessi.
Danno finanziario potenziale per una PMI: 35mila euro all’anno
Come accennato, il report contiene una guida dettagliata per la realizzazione dei controlli, con molti esempi, e delle stime di costo per due casi-base molto rappresentativi. A conclusione vi sono delle raccomandazioni per le imprese target, e per gli enti governativi e di regolamentazione.
Si rimanda quindi al report per tutte queste ulteriori informazioni, concludendo con alcuni dettagli sulle stime di costo, calcolate prendendo come riferimento il “danno medio finanziario” degli incidenti informatici per le PMI, calcolato da Kaspersky Lab in un recente report intorno ai 35.000 euro/anno per azienda (costi di recovery, perdita di volume di affari, tempi di inattività̀, danno d’immagine).
*Rielaborazione tratta da Digital4 di ICT&Strategy di Maggio 2017