Le pillole di Empeiria
Pillola n. 2: una catena è forte tanto quanto il suo anello più debole
Nel post precedente abbiamo parlato di prendere coscienza del rischio cibernetico e spiegato come generalmente si comporta un hacker che vuole perpetrare un crimine informatico. Sia negli attacchi di tipo APT (Advanced Persistent Threat) di cui abbiamo parlato la volta scorsa, sia nel caso di attacchi di tipo phishing, sia quando il malintenzionato inserisce un malware su un software o su una App che saranno poi oggetto di un improvvido download, chi attacca fa molto spesso leva sull’anello più debole della catena.
Nei sistemi informativi l’anello più debole si trova quasi sempre collocato tra la sedia e la tastiera.
Partendo da questo assunto è evidente che bisogna dedicare del tempo e delle energie per formare i collaboratori e aumentare la loro consapevolezza sui rischi legati alla sicurezza dei sistemi informativi. Le aziende infatti sono quasi sempre dotate di sistemi antivirus, antispam e di sistemi di firewalling. Le aziende spesso utilizzano anche i sistemi di URL filtering, che servono a mitigare il rischio che gli impiegati, navigando in Internet, possano approdare a siti con contenuti pericolosi, impropri o dannosi.
Ma tutta questa tecnologia non è sufficiente se poi il dipendente clicca sul link che trova nella prima mail che riceve da uno sconosciuto, oppure si connette a internet col Laptop aziendale, Laptop già connesso con un cavo ethernet alla LAN dell’azienda, facendo Tethering col cellulare, cioè utilizzando lo smartphone personale come gateway. E aprendo un buco enorme nella rete aziendale.
Sono esempi di situazioni purtroppo verificatisi nelle aziende che non hanno ritenuto necessario investire nemmeno il minimo sforzo che serve per approntare una formazione di base sui rischi informatici.
La formazione va fatta, non necessariamente e non solo in presenza ma anche sfruttando le tecnologie che consentono il Remote Learning, che ha il vantaggio di abbattere i costi della formazione. La formazione va ripetuta a distanza di tempo: come un vaccino col passare del tempo necessita degli opportuni “richiami”, quando gli “anticorpi” che l’azienda ha instillato nei collaboratori col tempo si attenuano, si rende necessario un richiamo formativo. Aggiornamenti formativi che magari aggiungano nuovi elementi di attenzione ad una materia che è in perenne divenire, in un continuo inseguimento tra chi si preoccupa delle strategie di difesa e chi – al fine di conseguire un illecito profitto – vuole intrudere l’azienda.
Il legale rappresentante dell’azienda, oltre che alla formazione, dovrebbe anche preoccuparsi di capire quale sia il livello di sicurezza della propria azienda. Anche perché il legale rappresentante è anche titolare del trattamento dei dati e come tale soggiace alle disposizioni contenute nel regolamento UE 679/2016 che, come noto, si basa in primis sull’accountability del titolare per la protezione dei dati. Ma soprattutto perché se non misuri il tuo indice di rischio cibernetico non lo puoi migliorare. Si migliora infatti solo ciò che è misurabile. Prendere coscienza dello status quo è il primo passo. E come si può determinare lo stato di fatto rispetto al tema in parola? Alcune aziende di cybersecurity nella prima analisi che fanno per il cliente considerano ad esempio i servizi esposti, le vulnerabilità presenti in azienda e i data leakage che dall’azienda sono già usciti (magari con dati che sono già in vendita nel dark web). Altre propongono delle scansioni dall’esterno della rete e altre ancora propongono l’installazione di sonde dall’interno con cui lanciare una serie di scansioni a rilevare varie forme di vulnerabilità. La prima cosa da fare è allora una verifica delle vulnerabilità, magari dall’interno della rete, ma non necessariamente con sistemi invasivi. Se il sistema proposto è invasivo, e potrebbe avere degli impatti in azienda, la cosa si capisce anche dal tipo di liberatoria/manleva di cui viene chiesta la sottoscrizione all’azienda da parte del fornitore del servizio di Vulnerability Assessment (V.A.). Ci sono vari modi di approcciare una V.A., e nel prossimo post vedremo come a nostro avviso convenga approcciare questa importante verifica che ci deve far capire delle cose davvero importanti. Come ad esempio se ci sono infezioni in corso, se nella rete ci sia un traffico sospetto e se i sistemi siano (o auspicabilmente non siano) già stati intrusi.
Diego Bonetto
