Cliccare su una mail che nasconde un malware o collegarsi a un wi-fi pubblico esponendosi al furto di dati: sono esempi classici di comportamenti rischiosi troppo spesso messi in pratica dai dipendenti aziendali, per mancanza di adeguata cultura della “prevenzione” in tema di Cybersicurezza, in particolare tra le PMI.
Un report Qbe Insurance rileva come il 78% delle PMI italiane si ritenga in grado di contrastare attacchi informatici, e tuttavia il 64% a subito un attacco nel corso dell’anno.
Gli attacchi informatici contro le imprese
Nel rapporto Clusit (Associazione italiana per la sicurezza informatica) relativo al primo semestre 2024 – survey sulle PMI realizzata fra maggio e luglio da Camera di Commercio di Modena e Università di Modena e Reggio Emilia – si evidenzia come il 30% delle aziende dichiari di aver subito attacchi negli ultimi due anni.
C’è quindi un 70% di imprese che non ritiene di essere mai finita nel mirino del cybercrimine, ma questo dato implica una frequente mancanza di consapevolezza.
I dati sugli attacchi informatici verso realtà italiane, pur in leggera diminuzione rispetto al 2023, confermano in realtà due tendenze: l’Italia è tra i paesi più colpiti dal cybercrimine a livello internazionale; il numero di incidenti resta sproporzionatamente alto rispetto alla popolazione e al PIL nazionale in rapporto col il prodotto interno lordo mondiale.
Una maggior consapevolezza sarebbe già di per sé un’arma potente contro la pirateria informatica.
Cause degli attacchi informatici, il fattore umano
Vittorio Bitteleri, Country Manager di Cyber Guru, sottolinea che tre volte su quattro la causa scatenante di un cyberattacco è il fattore umano. «Spesso si tratta di errori inconsapevoli, commessi quando per comunicazioni private si usa lo stesso dispositivo, per esempio uno smartphone, utilizzato anche per le comunicazioni di lavoro».
Il phishing, ovvero l’invio di mail che in realtà nascondono una minaccia informatica. «è solo il caso più noto, ma ormai esistono tantissimi attacchi e comportamenti che possono essere considerati pericolosi. E rendono necessarie attività di formazione e di addestramento».
«Nelle PMI, ma in particolare nelle micro-aziende fino a 10 dipendenti, la formazione diventa chiave principale anche in considerazione del fatto che non hanno personale tecnico specializzato, spesso non ci sono un CTO, chief technology officer, men che meno un CISO (Chief Information Security Officer) – aggiunge Michele Lomazzi, Responsabile Sviluppo Offerta di Wopta Assicurazioni -. Sono aziende in cui è frequente che ci sia un consulente informatico esterno. A livello tecnologico è già tanto se fanno correttamente gli aggiornamenti».
Per proteggersi dai rischi informatici, le aziende dovrebbero fare seguire tre percorsi paralleli, spiega Lomazzi: formazione, protezione tecnologica dei dati e assicurazione.
Formazione dei dipendenti sulla Cybersecurity
Cyber Guru si occupa di questo attraverso una piattaforma che utilizza anche algoritmi di intelligenza artificiale. «Prima che da quelli tecnologici, partiamo da aspetti metodologici. Utilizziamo moduli che trasmettono concetti chiari, ben delineati, capaci di trasformare i comportamenti maggiormente a rischio». Un esempio: «utilizziamo campagne di phishing simulato, molto efficaci per addestrare le persone a riconoscere i tranelli della rete. Se l’utente cade nell’inganno, raggiunge una pagina web che segnala la presenza di un attacco». In questo modo il dipendente impara a riconoscere i segnali di un messaggio sospetto.
Lomazzi fa l’esempio di una mail recentemente ricevuta in cui si chiedeva la partecipazione a un sondaggio. «Per verificare che non fosse un tentativo di truffa, ho controllato che l’indirizzo mail del mittente corrispondesse all’azienda destinataria, l’ortografia, loghi e layout in stile dell’azienda mittente». Quest’ultimo accorgimento può essere utile perché spesso questi messaggi, che tendenzialmente sono generati da macchine, contengono macroscopici errori di grammatica, piuttosto che loghi falsi ma molto simili al marchio originale.
La formazione di Cyber Guru comprende anche una serie composta da episodi della durata di pochi minuti. «Il protagonista compie azioni comuni, che però hanno conseguenza negative. Cerchiamo di far leva sull’immedesimazione, per sensibilizzare le persone verso i rischi che possono derivare da gesti comuni, da errori che moltissime persone commettono tutti i giorni, inconsapevolmente».
Tecnologie per proteggersi dagli attacchi
L’importanza degli aspetti legati alla sensibilizzazione dei dipendenti e alla modifica dei loro comportamenti non sostituisce le dotazioni informatiche. Le tecnologie sul mercato sono molteplici, l’evoluzione impresa dall’intelligenza artificiale da una parte rende più insidiosi gli attacchi dall’altra fornisce anche maggiori possibilità di difesa.
Ogni azienda deve effettuare le sue valutazioni soprattutto in base alle proprie caratteristiche.
- Un’azienda del Terziario, dovrà proteggere rete aziendale, pc, device mobili e sito web.
- Un’impresa manifatturiera avrà bisogno di tecnologie che tutelino l’intero ciclo produttivo: i nuovi paradigmi abilitati da Industria 4.0 e 5.0, con i macchinari sempre più connessi, impongono la messa a punto di architetture adeguatamente protette dai rischi esterni.
Anche in questi casi, un progetto di cybersecurity non può prescindere dalla formazione, sia degli addetti alla produzione sia dell’intera forza lavoro aziendale. Per arrivare, eventualmente, anche all’intera catena di fornitura.
Assicurazioni contro i danni cyber
Il terzo step sono le assicurazioni. Un attacco cyber può comportare diverse tipologie di danni, su cui ci si può assicurare: cancellazione o diffusione non autorizzata di dati, blocco di pc e sistemi informativi, che possono anche comportare l’interruzione della produzione.
«L’azienda dopo aver subito l’attacco che comporta un data breach è previsto debba sporgere la prevista denuncia al garante, deve sostenere anche costi di indagine e verifica. Infine, ci sono tutti gli aspetti relativi alla responsabilità civile, legati alla violazione di dati, in particolare se interessati sono fornitori o clienti» sottolinea Lomazzi.
La propensione a stipulare polizze che coprano questi rischi al momento non è particolarmente alta, sottolinea Wopta Assicurazioni, nonostante esistano soluzioni per tutte le dimensioni aziendali, anche per lo studio professionale sotto casa.
Le imprese sottovalutano il rischio, che in realtà riguarda praticamente chiunque abbia un sito web.
«I software malevoli visitano i siti costantemente, cercano le vulnerabilità, e poi scelgono dove colpire». Spesso l’azienda non si accorge nemmeno di essere vittima di un attacco perchè possono non esserci evidenze immediate. E questo incide sulla bassa consapevolezza del rischio a cui si è quotidianamente soggetti.