Con il termine cyber security si intende la protezione dei sistemi informatici (computer, reti di telecomunicazione, smartphone, ecc.) e delle informazioni digitali da attacchi interni e, soprattutto, esterni. Sinonimi di questo termine sono IT security, ICT security, sicurezza informatica e sicurezza delle informazioni.
I principali attacchi hacker
1. Attacchi brute force (forza bruta) e password sicure
Le misure di sicurezza sono utilizzate per ridurre i rischi, non per eliminarli. Per capire questo concetto, partiamo dalle password. I malintenzionati che quotidianamente provano ad attaccare i servizi sul web utilizzano programmi specializzati che provano migliaia di password al secondo, ventiquattr’ore su ventiquattro. Questo il motivo per cui la password dovrebbe essere complessa: idealmente dovrebbe essere composta da caratteri casuali, in modo da non dare nessun indizio all’attaccante su quale potrebbe essere la password. L’unico modo per indovinarla a questo punto sarebbe quello che si chiama attacco di forza bruta o brute force, che consiste semplicemente nel provare tutte le password fino a che non si trova quella giusta.
Per creare password sicure esiste una soluzione chiamata password manager. I password manager sono piccoli programmi installabili su pc o su smartphone, che permettono di generare password casuali senza alcuno sforzo, conservandole e proteggendole per noi con un’unica password. Dovendo accedere a un servizio, dal password manager copiamo la sua specifica password e la incolliamo nella pagina di autenticazione senza più bisogno di ricordarla. L’unica password che ci dovremo ricordare, e che dovrà essere veramente buona, sarà quella di accesso al password manager.
2. Attacchi di phishing
Attacco di phishing è il metodo usato dai malintenzionati per convincere gli utenti ad accedere a un sito esca/fasullo utilizzando le proprie credenziali. Il sito all’apparenza è uguale a quello originale, ma nella realtà è gestito dagli stessi malintenzionati.
Come proteggersi? Due sono le soluzioni: abbandonare la semplice password a favore di meccanismi di strong authentication e monitorare gli accessi per rilevare anomalie. I due meccanismi possono essere uniti per utilizzare la sola password quando si tratta di accessi “normali’ o di operazioni poco critiche, utilizzando invece l’autenticazione forte per accessi anomali od operazioni critiche.
La tecnologia però da sola non basta: fondamentale che gli utenti siano sensibili al problema.
3. Ransomware (Cryptolocker)
Attraverso gli stessi canali, e principalmente con la posta elettronica, può entrare in azienda il ransomware. Si tratta di malware che, una volta installatosi su di un computer aziendale, cifra i file di dati a cui hanno accesso, costringendo l’azienda a pagare un riscatto (ransom) per avere le chiavi di decifratura.
E’ proprio grazie al ransomware se il panorama della cyber security è cambiato. Diverse erano infatti le aziende, soprattutto medio-piccole, con la convinzione di non essere particolarmente vulnerabili e interessanti per gli attacchi da Internet.
Come proteggersi dal ransomware?
Sicuramente uno strumento fondamentale è l’antivirus, utile a prevenire le infezioni. Va anche detto che però da soli sono sempre meno efficaci poiché chi scrive i malware acquista gli antimalware e testa i propri prodotti fino a che non riescono a non essere rilevati. Solo a quel punto li diffondono mettendo in difficoltà i produttori di antivirus che necessitano poi di tempo per rilevare queste nuove varianti di malware e per istruire i propri prodotti a riconoscerli.
Fra le procedure per la protezione dei propri dati dal ransomware, è fondamentale il processo di backup che permette all’azienda di ripristinare i propri dati limitandone i danni. Nulla garantisce però all’azienda che, una volta pagato il riscatto, otterrà effettivamente la chiave efficace per decifrare i file; sempre più spesso accade che la chiave non venga inviata o che un difetto del malware non permetta il recupero dei file nonostante si sia ricevuta la chiave.
Cyber security: prevenzione e difesa
Primo step è la sponsorizzazione da parte dei manager aziendali di iniziative atte alla sicurezza, non riducendola a un mero problema del reparto IT. Si tratta di tutelare il patrimonio aziendale: la protezione non è rivolta ai pc ma a tutte le informazioni di valore per l’azienda.
Di conseguenza, il primo passo è identificare e valutare i rischi principali.
Da cosa partire? Da due documenti fondamentali: la policy di sicurezza e il regolamento utente. La policy di sicurezza è un documento che definisce i principi fondamentali nella gestione della sicurezza in azienda, si dichiara il commitment dell’azienda verso la protezione del proprio patrimonio informativo e si identificano le figure chiave che hanno in carico la gestione della cyber security, dando quindi loro l’autorevolezza per stabilire regole nell’uso e nella gestione del sistema informativo, diversamente difficile da far valere verso il personale. Il regolamento utente, invece, chiarisce quali sono i corretti e legittimi usi del sistema informativo e quali i comportamenti che gli utenti (personale ma anche consulenti, fornitori ecc.) devono tenere nell’utilizzo del sistema informativo aziendale e delle risorse quali Internet, posta elettronica, ecc.
A questi due documenti fondamentali si possono affiancare altre policy e procedure (gestione dei backup, gestione degli incidenti, ecc.) che, a seconda delle caratteristiche dell’organizzazione, possono essere più o meno strutturate.
Un’attenzione particolare va ai fornitori esterni: affidare la sicurezza a un servizio non significa scaricare il problema al fornitore pensando che non ci riguardi più; le risorse che si vogliono proteggere continuano ad essere patrimonio e responsabilità dell’azienda, che quindi dovrà assicurarsi che il livello della sicurezza del fornitore si mantenga adeguato, prima di tutto attraverso impegni contrattuali adeguati, e poi mediante audit e reportistica.
Infine, come anticipato, sono fondamentali la formazione e la sensibilizzazione del personale. Il comportamento e la disattenzione del personale sono la strada principale attraverso cui gli attaccanti riescono ad accedere al sistema informativo aziendale, molto più che attraverso vulnerabilità tecniche. La capacità degli utenti di comportarsi in modo sicuro e la formazione del personale tecnico sulle buone pratiche di sicurezza nella gestione del sistema informativo, sono quindi essenziali.
Perdita di dati e come comportarsi
Anche con la migliore gestione della sicurezza però, gli incidenti avvengono.
Come reagire?
L’azienda dovrà valutare se ripristinare sistemi e servizi o se invece non sarà più opportuno contenere l’incidente e raccogliere al contempo informazioni sull’attacco, attraverso quali canali è stato praticato e quali altre parti del sistema informativo sono state coinvolte, in modo da eliminare le vulnerabilità e migliorare la gestione della sicurezza.
Per gli incidenti più gravi, se definito, può anche scattare il piano di continuità operativa aziendale, in particolare le attività di disaster recovery che si occupano specificamente del ripristino dell’operatività del sistema informativo, sistema nervoso dell’azienda senza il quale questa non può funzionare a lungo.
La gestione della sicurezza, come si evince, richiede un impegno sia da parte delle piccole che delle grandi aziende che dovranno assegnare risorse coerenti con le esigenze aziendali.
Esigenze che finalmente le aziende cominciano a comprendere, investendo anche nei professionisti della cyber security, figure oggi molto ricercate.