Gli attacchi informatici alle aziende sta infatti salendo a un nuovo livello, senza considerare che le norme sulla privacy diventano più stringenti: tutto questo richiede un’evoluzione anche delle difese.
L’idea di fondo è che le PMI dovrebbero cominciare a prendere in considerazione nuove tecniche di difesa che le grandi aziende stanno adottando. Soprattutto se hanno dati di molti clienti e un certo livello di proprietà intellettuale; o, semplicemente, concorrenti parecchio agguerriti (e senza scrupoli).
Lo apprendiamo durante un tre giorni di full immersion a Tele Aviv, nel centro di analisi e ricerca di Rsa, azienda specializzata in consulenza sul cyber crime (del gruppo Emc). Ma la conferma è anche in due rapporti pubblicati a luglio da Forrester Research: Protect your competitive advantage by protecting your intellectual property from cybercriminals e Kill your data to protect it from cybercriminal.
Cyber crime in evoluzione
«Il pane che hanno venduto finora i cyber criminali – le semplici informazioni personali di utenti – sta diventando più economico e i rischi del mestiere aumentano», nota Heidi Shey, analista di Forrester, autrice del primo dei due rapporti.
Una carta di credito italiana vale in media appena 15 dollari sul mercato nero dell’underground: perché ce ne sono troppe rubate in giro e i perché i controlli delle banche stanno diventando più rapidi.
I pirati cercano di rispondere a questo ribasso dei prezzi aumentando la mole e la varietà delle informazioni rubate (anagrafica completa, vari numeri identificativi degli utenti), le quali fanno da materia prima ad attacchi remunerativi come lo spear phishing (mail-truffa online personalizzate, che possono confinare con il social engineering) o frodi finanziarie (con sostituzione di persona a cui hanno rubato i dati).
Questo avviene contro gli utenti comuni. Contro le aziende, invece, la nuova tendenza sono gli attacchi mirati (mentre calano quelli ad ampio raggio, perché sempre meno remunerativi). E cioè: so che quell’azienda ha qualcosa di valore da qualche parte, l’attacco e gliela rubo. Tramite trojan e spear phishing (o, comunemente, un mix di questi due).
Un altro motivo che presto costringerà le aziende a premunirsi è dato dalla regolamentazione. Le norme europee aumenteranno le responsabilità in capo alle aziende, anche in caso di attacco che ruba i dati dei clienti. Avrà sempre più senso investire in sicurezza per evitare i maggiori danni derivanti dal non averlo fatto abbastanza.
Le soluzioni
Ma da che cosa dovrebbe cominciare una PMI, per dormire sonni più tranquilli? «Per una piccola e media azienda la preoccupazione principale dovrebbe essere difendere il proprio conto corrente. Se un hacker ne intercetta le transazioni e-banking, può sottrarre tutto e la banca non rimborsa: significa fare bancarotta», dice, senza mezzi termini, Uri Rivner, head of new technologies di Rsa.
Sarebbe il frutto di un attacco sofisticato, che abbiamo visto (in simulazione) a Tel Aviv: infettare il computer della vittima con un trojan, aspettare che quello si colleghi all’e-banking e poi utilizzare una tecnica di man in the middle per fare un bonifico verso terzi (complici, che gireranno poi il denaro all’organizzazione criminale).
Non è certo alla portata di tutti, ma il sistema tende a essere industrializzato perché le organizzazioni che stanno dietro a tutto sono sempre più focalizzate su questo tipo di business. Si tenga conto che l’80% degli attacchi hacker ha alle spalle il crimine organizzato (mafie), secondo l’Interpol: mezzi e strutture non gli mancano.
Allora, «la misura di sicurezza minima per una PMI è interagire con il proprio corrente online solo attraverso computer ultra sicuri, da usare solo per quello scopo o quasi», dice Rivner. Com’è noto, anche navigando su siti normali si può beccare un trojan (se i pirati li hanno infettati, sfruttandone una vulnerabilità).
«Un passo avanti, che non costerebbe niente fare, è usare una macchina virtuale. Che, anche se viene infettata, al riavvio torna pulita», aggiunge Daniel Cohen, a capo delle cyber operations di Rsa. «Prevedo che il futuro della sicurezza passi anche dalla dynamic virtualization; i computer torneranno alla filosofia dei mainframe, per combattere i pirati», continua.
Il passo successivo è preoccuparsi dei dati che l’azienda custodisce riguardo a sé e a terzi. Secondo un recente sondaggio Forrester, tra aziende americane ed europee (con 20 o più dipendenti) che hanno subito un furto di dati negli ultimi dodici mesi, il 23% riferisce che a essere colpite sono state le informazioni personali (di dipendenti e cliente). Il 20% cita il furto della proprietà intellettuale (segreti industriali, formule). Per il 13 per cento, si tratta di dati aziendali importanti (piani strategici, listini…). La prima tipologia di dati è pane quotidiano da tempo per i pirati, ma Forrester nota che la novità è adesso la crescita dei furti di questi ultimi due tipi.
Di certo è una preoccupazione più cogente per le grandi aziende. Ma le PMI non devono sottovalutare il problema, soprattutto quelle che lavorano nel campo della tecnologia e che hanno un alto capitale intellettuale. Allora, la prima cosa da fare è una “pre-breach analysis”, cioè un’analisi preventiva per capire quali sono i dati più importanti custoditi e che cosa si rischia perdendoli. Il furto di dati di clienti o di partner/fornitori è certo un danno d’immagine e anche un costo diretto (per gestire le conseguenze tecniche, legali, relazionali con le vittime). Ma «il furto di dati personali dell’azienda (piani, proprietà intellettuale) rischia di minarne davvero il futuro», dice Shey.
La soluzione è prevenire, con il concetto del “kill your data”, dice Forrester; frase non da prendere alla lettera: significa crittografare i dati per renderli invendibili. E quindi non interessanti per i pirati. Sul mercato nero, i dati crittografati privi delle relative chiavi non hanno valore. Significa che la crittografia funge da deterrente: non solo limita il danno in caso di eventuale furto, ma lo scoraggia.
Secondo Forrester, questa soluzione si diffonderà tra le aziende, anche per rispondere a due fenomeni: la diffusione degli smartphone aziendali e del cloud pubblico. L’uso dei cellulari per fini lavorativi aumenta la circolazione dei dati e quindi il bisogno di proteggerli. Il cloud pubblico li fa finire invece in infrastrutture condivise.
La crittografia solleva il problema di adottare in azienda una politica di “key management” (gestione delle chiavi). Le aziende l’hanno affrontata, finora, al solito in modo poco sistematico e non centralizzato, ma anche questo sta per cambiare: la lezione finale degli esperti di sicurezza è che, per rispondere a nuovi pericoli, servono non solo nuove tecniche ma anche nuove (e più efficienti) policy di sicurezza.
