Nonostante in molti lo considerino un fenomeno quasi fantascientifico, il “Cybercrime” costituisce una vera e propria realtà. Ogni secondo, infatti, è in atto un attacco informatico in giro per il mondo ( basta digitare “Norse attack map” sul proprio browser di ricerca per aver accesso ad una panoramica globale in tempo reale ).
La vera domanda, pertanto, non è più “se” ma “quando” cadremo vittima di un attacco di questo tipo.
Attacchi informatici: come avvengono e perché
Due sono le motivazioni che portano i cybercriminali a designare uno specifico soggetto come “preda” dei loro attacchi:
1) La vittima costituisce l’obiettivo primario (dati aziendali riservati, credenziali di c/c …).
2) La vittima funge da “ponte” per condurre un altro attacco ai danni di un terzo.
Ma come avviene un attacco informatico? Le metodologie sono molteplici e differenti (spesso questi criminali generano dei sistemi ad hoc per l’obiettivo in questione), volendo semplificare:
1) Si reperiscono informazioni e contatti interni (soprattutto mail).
2) Si spediscono a questi indirizzi di posta elettronica file “infetti” (PDF, Excel ecc.) che, se aperti, permettono all’hacker di prendere il controllo dell’asset aziendale.
3) Si utilizza l’asset violato per estrapolare dati riservati (“Data breach”) o accedere a nuovi contatti.
Le aziende investono molto poco sulla sicurezza dei loro asset interni ( costo annuale dell’antivirus, o poco più ). È questo il motivo che porta a designare come target il dispositivo privato piuttosto che l’intero sistema aziendale.
Data breach: la procedura e come tutelarsi
Il termine “Data breach” fa riferimento alla violazione di dati personali e riservati. Stando alla procedura di riferimento, il soggetto violato ha 72 ore di tempo per presentare una notifica al Garante Privacy che attesti:
1) La tipologia di attacco ricevuto.
2) Quali dati, nello specifico, sono stati rubati.
3) Quali misure si prevede di adottare per far fronte ad eventuali attacchi futuri.
In alcuni casi vi è, in aggiunta, l’obbligo di comunicare il fatto a tutti i soggetti presenti nel database aziendale, seppur non direttamente lesi.
Al fine di evitare una perdita di fiducia da parte degli stakeholders ( nonché un danno d’immagine considerevole), è necessario correre ai ripari:
1) Adottando lo standard ISO/IEC 27001 per definire un SGSI ( Sistema di gestione della sicurezza delle informazioni ).
2) Adottando il modello organizzativo 231, che al suo interno contiene dei protocolli relativi ai reati informatici.
3) Investendo sulla sicurezza digitale, oltre che su quella fisica ( l’antivirus NON basta !! ).
4) Investendo sulla formazione delle proprie risorse umane, definendo policy specifiche di cui i dipendenti devono comunicare di aver preso conoscenza.
E ricordarsi sempre che: “La sicurezza non è un prodotto, ma un processo”.