LE AZIENDE E LA CYBERSECURITY
4 Luglio 2017
Il noto sviluppatore di software antivirus Kaspersky Lab ha condotto un esperimento “fatto in casa” con una chiavetta Usb: sembrerà incredibile, ma sono sufficienti 20 dollari e qualche ora di lavoro di una persona con conoscenze base di programmazione per trasformare una semplice chiavetta in un potente strumento di “hacking”, perfettamente capace di infettare le reti informatiche di un’azienda.
I SISTEMI AZIENDALI NON SONO AL SICURO
Dopo gli oltre 450 milioni di password e indirizzi e-mail sottratti con il “leak” (letteralmente “perdita di dati”) denominato “Antipublic” e l’epidemia diffusa del famoso ramsomware (software dannoso) “WannaCry”, che ha colpito più di 200 mila computer, le aziende vanno avanti a fatica cercando di difendersi dalle minacce informatiche.
L’ultimo della serie è un ransomeware che ha sottomesso migliaia di computer fra Ucraina, Russia e altri paesi UE (tra cui l’Italia): se ne sa poco, anche il nome non è certo (all’inizio era chiamato Petya, poi NotPetya / SortaPetya / Petna, a causa delle diverse estrazioni del codice); quello che si sa è che ha molte cose in comune con il WannaCry: c’è una richiesta di riscatto in Bitcoin e c’è lo sfruttamento di una vulnerabilità di Windows.
Un ricercatore di Cybereason, Amit Serper, ha analizzato il processo attraverso il quale NotPetya infetta un computer ed ha fortunatamente individuato la procedura per renderlo inoffensivo: si tratta di una sorta di vaccino, ma solo per i computer che non siano stati ancora colpiti; per quelli già infettati invece non è ancora stata trovata una soluzione.
COME DIFENDERSI?
Per difendersi da malaware come NotPetya è innanzitutto essenziale tenere il sistema operativo sempre aggiornato, avere sempre delle copie di back up dei dati, ma anche fare formazione al personale.
Un ulteriore strumento per preparare le aziende ad affrontare minacce di questo tipo è sicuramente l’analisi di Vulnerability Assessment: si tratta di un’analisi che individua lo stato di sicurezza dei sistemi informatici e in particolare verifica la presenza di eventuali vulnerabilità che potrebbero essere sfruttate per infettare tutta la rete.
A CHE PUNTO SONO LE AZIENDE ITALIANE?
Stefano Mele, presidente della Commissione sicurezza cibernetica del Comitato Atlantico Italiano, spiega che “In Italia, purtroppo, siamo ancora molto lontani dal prendere sul serio il problema del cybercrime. Soprattutto le piccole e medie imprese non sembrano aver ancora compreso l’entità del rischio. Domina ancora la cultura della reazione al danno subìto piuttosto che quella della prevenzione. Ma non è più tempo di prendere la cosa sottogamba“.
Le criticità riguardano anche il profilo normativo: infatti, una recente ricerca dell’Osservatorio di Federprivacy, ha evidenziato che le imprese italiane stentano ancora a rendersi conformi al Regolamento UE 2016/679 (che sarà operativo dal 52 maggio 2018). Basti pensare che il 72% delle aziende non si è ancora dotato di un DPO, figura che avrà anche il compito di informare e consigliare l’azienda su come rispettare le regole quando si verificano dei “data breach”.
Come spiega Nicola Bernardi, presidente di Federprivacy: “Con il nuovo Regolamento UE le aziende avranno l’obbligo di notificare al Garante per la privacy ogni violazione sui dati entro 72 ore, e nei casi più gravi dovranno informare anche gli stessi interessati. Molte imprese che sono vulnerabili sotto il profilo della sicurezza dei dati non si rendono ancora conto di come espletare tale adempimento possa esporre a forti danni reputazionali e agli accertamenti dell’Authority, aggiungendo al danno anche la beffa.”
Il Juniper Research ha stilato un report, secondo il quale la spesa necessaria per far fronte alle violazioni dei dati informatici nei prossimi cinque anni ammonterà circa ad otto miliardi di dollari: è quindi urgente che le aziende corrano ai ripari, investendo in formazione del personale sull’utilizzo degli strumenti informatici, sulla sicurezza informatica e sulla protezione dei dati personali.
Vuoi sapere come svolgere un Vulnerability Assessment e come proteggere la tua realtà aziendale? Prenota una call con un nostro consulente!
Fonte [IlSole24Ore, Federprivacy]