Con l’emergenza sanitaria scoppiata nei primi mesi del 2020, la priorità per le aziende è stata quella di mettere le persone nelle condizioni di lavorare. Successivamente, anche di aumentare i livelli di sicurezza di reti e dispositivi con tecnologie adeguate. Ma qualcosa è mancato, ovvero la consapevolezza e la cultura interna sulle minacce che possono colpire uno tra gli strumenti più utilizzati: le e-mail.
Con oltre il 90% degli attacchi che colpiscono la posta elettronica, una piccola disattenzione può essere fatale. Come fare a evitare che questo accadaLo chiediamo a Stefano Torelli, Co-Founder del Polo Digitale, CTO di Seven IT e CEO di Cyberland. 

 

Stefano, come hanno influito pandemia e lockdown sulla sicurezza aziendale? 

Le aziende si sono trovate impreparate di fronte ad una situazione inedita e improvvisaSi sono dovute adattare velocemente, spesso concentrandosi sull’organizzazione del lavorosu come riuscire a far lavorare comunque le persone. In questo contesto, la sicurezza è stato un tema affrontato successivamente, e si ha cercato di procedere con strumenti che normalmente servivano il classico lavoro in ufficio. Non si era pronti al passaggio quasi completo verso il lavoro da remoto. 

La forte condizione di stress emotivo generale ha poi favorito comportamenti a rischio, come la disattenzione verso le possibili e-mail fraudolente. Del resto, prima bastava chiedere un parere ai colleghi, o si era meno portati ad aprire contenuti non riguardanti l’attività lavorativa in senso stretto.
Di questo se ne sono resi conto anche gli hacker, portando a un aumento degli attacchi del +250% nel solo periodo del primo lockdown 

 

Quali sono le tipologie di attacchi più frequenti? 

Il grosso degli attacchi riguarda il phishing, anche con furto di credenziali su siti web fasulli, e l’invio di allegati contenenti malwareÈ la modalità di truffa più frequente, effettuata tramite l’invio di una e-mail fraudolenta che può essere generica o personalizzata in base alla persona che la riceve, o al periodo dell’anno. All’utente viene richiesto un semplice clic e il gioco è fatto: malware e ransomware possono iniziare ad agire nel dispositivo, rubando dati, criptandoli o facendo silenziosamente accesso alla rete aziendale. In alternativa, ci si potrebbe ritrovare a fare il login su un finto sito costruito ad hoc e del tutto identico all’originale, regalando agli hacker le proprie credenziali.
Per capire come sia possibile ingannare facilmente chiunque, basti pensare che sotto le festività sono frequenti le e-mail che parlano di consegna di pacchi da parte di corrieri. Molto usate sono anche quelle che riguardano social network o i servizi bancari come PayPal. Una e-mail intitolata “guarda le tue ultime transazioni” o “guarda chi ha messo like alla tua foto” può essere innocua, o nascondere minacce serie alla sicurezza.
Altre volte il criminale si mette in mezzo alla comunicazione tra due colleghi, tramite un sistema chiamato “Maninthemiddle. Uno dei due, per qualche motivo, si trova già sotto attacco e ha il PC o la casella di posta compromessi. L’hacker si pone come intermediario nella conversazione, guidando gli utenti a fornire informazioni o disporre pagamenti verso il suo conto corrente. E il gioco è fatto.
Come fare a proteggersi e ad evitare che questo accada?
Innanzitutto, dotandosi di sistemi di sicurezza che fanno la maggior parte del lavoro in automatico. Questi sono ormai molto evoluti anche grazie all’intelligenza artificiale, e sono già in grado di bloccare la maggior parte degli attacchi di vario genere, tra cui le minacce agli utenti.
Ma non è sufficiente, dato che nelle caselle e-mail non si può bloccare tutto. Qui entra in gioco la persona e la sua consapevolezza. A volte, per non cascarci, basta controllare l’indirizzo e-mail, che cambia in modo quasi impercettibile, cambiando ad esempio una lettera con un numero, modificando un .it in un .com o aggiungendo la sigla della ragione sociale.
Occorre lavorare internamente sulla Security Awareness, ovvero la consapevolezza, l’attenzione e l’atteggiamento dei singoli verso l’importanza della sicurezza informatica.

 

Parlaci della Security Awareness, come fare a trasmetterla a tutti i dipendenti? 

Mettendo alla prova, ancora e ancora. Ci sono infatti diverse piattaforme per simulare attacchi informatici, con le quali l’azienda può creare finte e-mail fraudolente e inviarle periodicamente ai dipendenti. Se si cade nella trappola, il sistema informa che si trattava di una prova e mostra un breve video informativo che spiega come riconoscere gli attacchi e come comportarsi in futuro. In questo modo, si presume che aumenterà il livello di attenzione 
Anche all’interno della nostra azienda utilizziamo questo strumento. Lavorando nel settore, dovremmo avere un livello di conoscenza generale sull’argomento superiore alla media, ma comunque dalle simulazioni degli ultimi mesi risulta che il 23% di noi è caduto in trappola. Ovviamente continueremo a fare queste campagne anche in futuro. Ne facciamo circa 2 o 3 al mese, perché smettendo si torna al punto di partenza. 

 

Grazie, sei stato molto esaustivo. Hai altro da dirci per concludere? 

Se lsicurezza informatica interessa già a molti, la Security Awereness ancora non rappresenta una delle priorità delle aziende. E invece dovrebbe, perché anche se pare difficile, non capita di rado che partano bonifici di somme importanti su conti sconosciuti o che vengano cedute informazioni sensibili agli hacker.
Sappiamo che gli attacchi aumenteranno e il rischio da calcolato si fa incalcolabile tanto più tempo passeremo a casa. La Security Awereness è sicuramente tra le più grandi sfide per questo nuovo anno. Dato che lo smart working non ci abbandonerà ancora per molto tempo, sta alle aziende attrezzarsi per raggiungere il massimo della sicurezza possibile, che non sarà mai il 100%perché non siamo macchine e sono le persone a fare la differenza.