Gli attacchi informatici sono in vertiginosa crescita e nel mirino dei web criminali di ultima generazione finiscono ogni giorno non solo le grandi aziende, ma anche quelle piccole e medie, che spesso commettono l’errore di sentirsi immuni, quindi si tutelano meno, rischiando un impatto che puó essere devastante. Come difendersi in maniera efficacia e cosa fare? Futuro Quotidiano ha intervistato David Imoisili, Sr. Manager, Commercial Sales – Southern Europe di Proofpoint, società americana di sicurezza informatica aziendale tra le piú importanti al mondo.
Qual è la tipologia di Pmi in Europa, e in Italia, più esposta ai cyber attacks? Si puó parlare di unanuova forma di guerra commerciale?
Le Pmi non sono immuni ai cyberattacchi, anche se spesso le aziende più piccole tendono a pensare di essere “pesci piccoli”; e, in quanto tali, non meritevoli di essere presi di mira. Infatti, i dati di Proofpoint mostrano che solo il 57% dei CISO italiani di aziende con meno di 500 dipendenti si sente a rischio di un attacco informatico nel prossimo anno. Tuttavia, si tratta di un’affermazione errata, poiché i dati hanno dimostrato che “non c’è quasi alcun legame tra dimensioni dell’azienda e frequenza con cui viene colpita dalle frodi via email”, quindi le Pmi hanno la stessa probabilità di subire attacchi Bec (Business Email Compromise) con la stessa frequenza delle organizzazioni più grandi. In realtà, indipendentemente dalle dimensioni di un’azienda, se questa possiede un conto bancario o informazioni sensibili da rubare, è molto a rischio. Una ricerca di Proofpoint mostra che il 70% delle aziende italiane con meno di 500-1.000 dipendenti ha dovuto affrontare una perdita materiale di informazioni sensibili nell’ultimo anno, un dato superiore al 60% delle organizzazioni con più di 5.000 dipendenti. Le PMI hanno spesso meno “margine di manovra” rispetto a organizzazioni più grandi e strutturate per quanto riguarda i tempi di inattività di dipendenti e rete, hanno meno fondi a disposizione per bonifica e ripristino e un trasferimento bancario fraudolento/sbagliato può avere un impatto molto grave. Inoltre, è anche meno probabile che abbiano accesso a strumenti tecnici più avanzati che possano impedire agli attacchi di raggiungere i dipendenti. Ciò significa che in generale gli incidenti di sicurezza possono essere più costosi, gravando letteralmente sulla loro sostenibilità.
Quali sono le finalità degli hackers?
I ricercatori di Proofpoint hanno osservato diversi attori di minacce prendere di mira aziende italiane a scopo di lucro, sfruttando tecniche di social engineering, come lo spoofing di enti governativi italiani o fingendo di essere risposte a conversazioni esistenti per indurre gli utenti a fidarsi e a condividere contenuti. Gli obiettivi per i i cybercriminali possono essere diversi, come rubare dati e acquisire account, ottenere informazioni bancarie per impossessarsi di fondi o installare malware successivi, come adesempio ransomware. Si tratta di minacce che possono avere un forte impatto economico, con perdite di milioni di Euro. I malintenzionati continuano a fare leva sul “fattore umano”, ovvero l’istinto di curiosità e fiducia che porta le persone a cadere nelle mani di un attaccante con buone intenzioni. Secondo il report diProofpoint “Voice of the CISO 2023” il 58% dei CISO italiani di aziende con meno di 500 dipendenti considera l’errore umano il problema numero uno della cybersecurity.
Quanti sono i casi di cyber attacks nei confronti di Pmi? Il fenomeno è in aumento?
Gli analisti di Proofpoint hanno identificato tre tendenze principali negli attacchi rivolti alle PMI tra il 2022 e il 2023: l’utilizzo di infrastrutture delle aziende compromesse durante campagne di phishing; l’individuazione di PMI locali da parte di entità di matrice statale per il furto di denaro; e di MSP (Managed Service Provider) regionali vulnerabili che vengono colpiti da phishing, favorendo così il rischio di attacchi alla supply chain delle PMI. Questo evidenzia come le PMI gestiscano aree chiave di interesse per gli attacchi di phishing allineati agli Stati e che gli attori delle minacce sembrano scalare le tattiche esistenti, osservate nelle campagne di phishing mirate alle grandi aziende, per gli ambienti meno solidi delle PMI.
È vero che finora gli imprenditori piccoli e medi spesso hanno sottovalutato questo rischio?
Quando si tratta di proteggersi dal fattore umano, sono ancora troppo poche le organizzazioni che attribuiscono il giusto valore alla formazione dei dipendenti: senza un maggiore livello di consapevolezza, è molto probabile che in ogni azienda qualcuno clicchi sul link sbagliato. La buona notizia è che il 50% dei CISO italiani di organizzazioni con meno di 500 dipendenti considera il miglioramento della consapevolezza della cybersecurity tra i dipendenti una priorità per la cybersecurity nei prossimi 12 mesi.
Come agiscono gli hacker, quali sono le strategie che mettono in atto, e quando si può dire di essere dinanzi a minacce persistenti avanzate?
Oggi i cyberattacchi prendono sempre più di mira le persone, non solo la tecnologia, e la via d’accesso più facile per i malintenzionati è di sfruttare la vulnerabilità degli individui attraverso semplici ma sofisticate tattiche di social engineering nelle email di phishing. I criminali informatici hanno trovato nuovi modi per sfruttare il “fattore umano”, ovvero la curiosità e fiducia che porta le persone con buone intenzioni a mettersi nelle mani dell’attaccante, sfruttando diversi metodi, ad esempio quello di indurre la vittima a cliccare su link pericolosi e installare malware, oppure di inviare email che impersonano un membro fidato dell’azienda per convincere i dipendenti a trasferire fondi o rivelare dati sensibili.
Il remote working espone di più le aziende a questo rischio?
La pandemia ha dato una forte spinta verso l’adozione del lavoro remoto e, anche con il ritorno alla normalità, il modello di lavoro ibrido è diventato la norma per molte aziende. All’inizio, questo ha aumentato in modo notevole il livello di rischio associato ai singoli dipendenti, a causa di infrastrutture domestiche non protette come quelle aziendali. Dal punto di vista del fattore umano, lavorare da remoto potrebbe aumentare il rischio a causa della naturale tendenza degli individui a prestare meno attenzione alle policy aziendali quando operano in un ambiente domestico.
Quali misure base possono adottare le PMI per garantire una protezione ottimale soprattutto nei confronti dei dati sensibili? Quanto costa proteggersi e in che misura prevenire puo’ rivelarsi un investimento?
Le aziende devono affrontare la cybersecurity con una strategia completa, che comprenda persone, applicazione e tecnologia. Il modo in cui interagiamo con le reti aziendali è cambiato per sempre e la sicurezza perimetrale tradizionale non è più all’altezza della situazione. Sempre più si parla di “work from anywhere”, scenario che incrementa la dipendenza da tecnologie cloud e porta la maggior parte delle aziende a dover difendere una superficie di attacco quanto mai eterogenea, tra sedi, account e dispositivi. Gli attori delle minacce prendono di mira le persone attraverso diversi attacchi, come le email di phishing delle credenziali e l’invio di malware. In questo modo, non hanno bisogno di impegnarsi per violare i numerosi livelli di difesa di un’organizzazione. Una volta compromesso un dipendente, un account, un’identità, il loro scopo è raggiunto: possono muoversi lateralmente all’interno e raggiungere i loro obiettivi di distribuzione di ransomware o di esfiltrazione dei dati. In altre parole, l’identità rappresenta la nuova superficie di attacco e, in ultima analisi, il nuovo perimetro. Le difese tecnologiche, come antivirus e firewall, sono ancora un pilastro di qualsiasi strategia di cybersecurity ed è fondamentale assicurarne almeno l’aggiornamento, mentre i criminali informatici sviluppano e adottano nuove forme di malware. Tuttavia, queste difese costituiscono solo una parte della postura di sicurezza ottimale delle Pmi, che devono anche assicurarsi che i dipendenti comprendano il valore delle informazioni che trattano e come identificare e segnalare i tentativi di frode via email. È opportuno incoraggiare la comunicazione tra i dipendenti, soprattutto quando si lavora da remoto. Ad esempio, adottando una policy che richieda una conferma verbale prima di elaborare un pagamento tramite bonifico, per ridurre le possibilità che i fondi vengano accidentalmente trasferiti a un malintenzionato. Si devono incoraggiare i dipendenti a mantenere la sicurezza del proprio ufficio domestico, prestando la massima attenzione ai link su cui si fa clic e ai fondi che vengono versati. Per molti neo-lavoratori remoti, ci saranno protocolli, strumenti online e comunicazioni con cui non avranno familiarità, ed è proprio questa mancanza di confidenza che i
criminali informatici cercheranno di sfruttare. Si consiglia di essere certi di garantire una connessione Wi-Fi sicura, di utilizzare una VPN aziendale protetta e di insistere su password forti.
È vero che spesso sono le email sono i principali veicoli di attacco?
L’email rimane il vettore di minaccia numero uno per i criminali informatici, e non è una novità. Un tentativo di phishing riuscito offre loro accesso a sistemi e dati aziendali, tipologia di attacco in aumento anche nel nostro paese. Tra le aziende italiane che hanno subito tentativi di questa tipologia lo scorso anno, il 79% ne ha registrato almeno uno di successo, con il 7% che ha riportato perdite finanziarie dirette come danno. Se si considerano le tipologie di phishing che possono potenzialmente garantire l’accesso iniziale ai criminali informatici, gli attacchi BEC (Business Email Compromise) sono una minaccia in rapida crescita. Il 51% delle organizzazioni italiane ha segnalato un tentativo di attacco BEC lo scorso anno e rappresenta una delle principali preoccupazioni per il 26% dei CISO italiani nei prossimi 12 mesi, subito dopo gli attacchi alla supply chain (30%). Gli attacchi BEC sono anche uno dei vettori di attacco via email più dannosi dal punto di vista economico: l’FBI ha riferito che le perdite finanziarie sono aumentate di quasi il 50% negli ultimi due anni. In questi attacchi, gli attori delle minacce spesso fingono di essere entità esterne fidate e spesso utilizzano account compromessi di fornitori o partner fidati per infiltrarsi. In entrambi i casi, l’obiettivo finale è quello di indurre un dipendente a credere che l’email provenga da qualcuno che conosce o si aspetta di ricevere. Un’altra minaccia molto diffusa che generalmente accede in azienda attraverso un’email inviata aun dipendente è il ransomware, una delle più temute, perché possono paralizzarne le operazioni.Quello che spesso inizia con un semplice clic su un’email o un link all’apparenza innocuo può portare all’interruzione completa delle attività fino al pagamento del riscatto.
In che modo le Pmi possono attrezzarsi per affrontare queste minacce in modo proattivo, garantendo sicurezza ai dati dei loro clienti?
I programmi di formazione e sensibilizzazione devono essere concepiti come qualcosa di più di unsemplice corso online da completare, ma devono stimolare i dipendenti a diventare naturalmente meno suscettibili, in modo che anche l’individuo più curioso e con poco tempo a disposizione possa rilevare i segni distintivi di un tentativo di social engineering. Al centro della difesa informatica di un’azienda deve esserci un programma completo di security awareness. La formazione deve essere regolare, integrale e adattabile e deve coprire una serie di argomenti, dalle motivazioni e i meccanismi delle minacce informatiche a come semplicicomportamenti come il riutilizzo delle password e l’inadeguata protezione dei dati possano aumentare le probabilità di successo di un attacco. La cultura della sicurezza deve riguardare tutta l’azienda e non solo il CISO. Quando tutti i dipendenti si assumeranno la responsabilità sia personale che della sicurezza come fanno, ad esempio, le compagnie aeree o le piattaforme petrolifere, allora potremo godere dei veri vantaggi di una “cultura della sicurezza”.
