Responsabilità civile, diritto e valori materiali

Sicurezza IT per PMI: conoscere i rischi

I grandi gruppi aziendali sono meno interessanti per hacker e truffatori. Perché, grazie all’esperienza ed ai loro specialisti IT, essi sanno come proteggere i dati aziendali.

Come proteggere la propria azienda

Per la mancanza di precauzioni, i criminali informatici prendono sempre più di mira le piccole aziende

I criminali informatici prendono sempre più di mira le piccole aziende. Il motivo è presto detto: la maggior parte delle PMI non dispone del know-how per proteggersi dai pericoli della rete. Per questo sono attualmente esposte a un rischio maggiore. Per sensibilizzare le aziende e i loro collaboratori in merito ai pericoli informatici, di seguito verranno spiegati i concetti principali e illustrate linee guida preventive.

Social engineering
Il social engineering è un metodo per spiare informazioni confidenziali. In questo caso, l’obiettivo dell’attacco è sempre una persona. Con l’uso del social engineering, i truffatori approfittano della disponibilità o della buona fede delle persone per ottenere dati sensibili.

Possibili scenari
Il social engineering può essere praticato sia nel colloquio diretto che tramite e-mail o telefono. I seguenti scenari possono far sospettare un tentativo di social engineering:

  • In un’e-mail, un superiore richiede l’accesso a un’area protetta.
  • Il proprio interlocutore mette pressione e insiste sull’urgenza della propria richiesta.
  • Il proprio interlocutore esorta a eludere eccezionalmente i regolamenti previsti.

Come mi comporto in questa situazione?

  • Non inoltrare alcuna informazione se non si è sicuri con chi si ha a che fare.
  • In caso di richieste, esigere sempre di vedere il badge di dipendente o di visitatore.
  • Se l’attacco avviene per telefono, chiedere un numero da poter richiamare.
  • Tenere a mente che il proprio scopo non è quello di riuscire a scacciare il social engineer, bensì di identificarlo per poter così impedire di perpetrare nuovi attacchi.

Phishing

Il termine «phishing» è composto dalle parole inglesi «password», «harvesting» e «fishing».

Il phishing è una forma di social engineering con cui si tenta di accedere a dati personali tramite siti web, e-mail o messaggi falsi.

phishing_vorlage_i

Fattori di riconoscimento (riquadri rossi) dall’alto verso il basso:

  1. Il mittente indicato ha due indirizzi e-mail, il secondo dei quali non sembra assolutamente essere quello di un impiegato di Facebook.
  2. Manca il logo Facebook. Inoltre l’e-mail non ha il solito formato tipico di Facebook.
  3. Il link indicato per accedere a Facebook contiene una «o» di troppo. Inoltre il link stesso non sembra assolutamente indirizzare verso una pagina di login o di sblocco della pagina.
  4. La questione sembra essere un po’ urgente. La stessa frase contiene anche una minaccia sotto forma di possibile cancellazione dell’account.
  5. Mancano il classico disclaimer e la nota sulla protezione dei dati. Con il disclaimer il mittente vuole tutelarsi contro il rischio di un uso illecito dei dati. Tali informazioni rappresentano uno standard per le aziende serie. Quindi un buon motivo per nutrire ancora più sospetto, ove queste siano assenti.

E-mail di phishing: sì o no?
Le e-mail di phishing non sono sempre identificabili a prima vista. In caso di sospetto, è possibile procedere come segue:

  • Cancellare l’e-mail. Se l’e-mail è importante, il mittente si farà vivo di nuovo.
  • Verificare manualmente (senza cliccare sul link all’interno dell’e-mail) lo status del profilo o del servizio.
  • Chiamare il supporto clienti del mittente e chiedere informazioni. Il numero di telefono del supporto clienti di un fornitore di servizi si trova facilmente con una ricerca su Google.
GettyImages-913017342

Ransomware

La parola «ransom» significa «riscatto». Il termine indica programmi di malware con cui l’intruso riesce ad accedere a determinati dati per poi bloccare l’utilizzo di essi o l’accesso all’intero sistema informatico. Per la decodifica o lo sblocco viene richiesto un riscatto.

Protezione contro i ransomware
Un ransomware viene diffuso principalmente tramite e-mail. Anche in tal caso lacune nelle conoscenze e disattenzione svolgono un ruolo chiave: il 45 per cento di tutti gli utenti Internet clicca su link di mittenti sconosciuti. Le seguenti misure contribuiscono a evitare questo tipo di estorsione:

  • Usare assolutamente un antivirus per verificare gli allegati di mittenti sconosciuti prima di aprirli.
  • Attenzione alle chiavette USB e ai dischi rigidi portatili. Soprattutto, se non si conosce l’utente precedente del dispositivo e non si è sicuri del contenuto del dispositivo stesso.
  • Mantenere sempre aggiornati i propri sistemi. Gli aggiornamenti dei software contengono spesso miglioramenti in fatto di sicurezza. È importante anche aggiornare regolarmente i programmi antivirus.
  • Ricordare pertanto di fare regolarmente delle copie di sicurezza dei propri dati.

Sono caduto vittima di un’estorsione, e ora?
Non pagare il riscatto richiesto! In questi casi spesso poi il riscatto viene aumentato e i dati non vengono decodificati. Inoltre è consigliabile avvalersi del supporto di specialisti. Con l’assicurazione cyber della Basilese è possibile contare sull’assistenza di una rete di specialisti in caso di emergenza. Ciò può rivelarsi un valido supporto in una situazione di stress.

Gestione delle password
È bene modificare regolarmente le password. È molto importante quindi non sostituire solo un numero o una lettera, bensì utilizzare una password completamente nuova.

Checklist per la sicurezza delle password

  • La password dovrebbe avere almeno otto caratteri
  • Utilizzare una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali
  • Non utilizzare nessuna combinazione di lettere contenuta in dizionari
  • Scegliere sempre una password mai usata prima

Ecco come fare per creare una password
Formulare una frase facile da memorizzare. Dalle lettere iniziali e dai numeri viene ottenuta la nuova password. Sostituire infine la punteggiatura con un carattere speciale per creare così una password sicura.

Esempio di frase: A febbraio del 1994 nacque mio figlio. Quest’anno ha compiuto 24 anni.

Password: Afd94nmf$Qhc24a

Inoltre l’autenticazione a due fattori è un metodo semplice per aumentare la sicurezza di un account. In questo caso, al primo login viene inviato all’utente un SMS al numero di cellulare registrato, contenente un codice numerico temporaneo per il login finale.

Nominare responsabili della sicurezza
La sicurezza delle informazioni rientra nella responsabilità di ciascun collaboratore. Tuttavia è importante nominare una persona responsabile e un sostituto. Il compito del responsabile della sicurezza è informare regolarmente il cliente e il relativo team e fungere da punto di riferimento in caso di domande, dubbi e attacchi concreti.

Creazione di backup
I dati sensibili possono andare persi non solo nel caso di un attacco hacker. Un incendio o danni dovuti all’acqua possono provocare ugualmente perdite di dati. Ricordare pertanto di fare regolarmente delle copie di sicurezza. È importante conservare i backup in un luogo diverso da quello dei supporti dati originali.

Mantenere aggiornati i programmi
I sistemi operativi e i programmi non sono privi di errori. Gli autori dei malware sfruttano proprio queste falle per accedere ai computer o agli smartphone. Ricordare pertanto di eseguire regolarmente gli aggiornamenti di assistenza e sicurezza per il proprio sistema operativo e i programmi in uso. Queste «patch» chiudono le falle e le lacune.

«have i been pwned?»
Il servizio web «have i been pwned?» raccoglie e analizza i cosiddetti «data dumps» che gli hacker mettono in rete dopo aver messo a segno i loro furti di dati. Il servizio offre agli utenti la possibilità di verificare se i propri dati siano stati resi pubblici. Allo stesso modo è possibile cercare tra le password rese pubbliche.

Sostegno statale
Dal 2010, lo Stato offre la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione, dove trovare informazioni in merito ai pericoli e alle misure attuali, come anche un modulo di annuncio per attacchi a danno di privati e PMI.

Per saperne di più sull’argomento, leggere l’intervista con il nostro IT Security Manager Marcello Bellini

Attacco hacker: Proteggere la propria azienda

Di vostro eventuale interesse:

Rivista
Ha delle domande? Top