Contro il cybercrime le persone sono la prima difesa utile

Mai come ora la sicurezza dei dati rappresenta un aspetto fondamentale nel business aziendale. Il trend dei cyber attacchi ha conosciuto infatti un’accelerazione negli ultimi anni, favorita dalla pandemia e dal massiccio utilizzo delle tecnologie di comunicazione digitale. A livello globale gli attacchi sono aumentati del 10% nel corso del 2021, con un impatto sulle strutture informatiche molto alto nel 79% dei casi, contro il 50% del 2020. E il gauadagno illecito si conferma esserne la motivazione principale (86% del totale). In Italia dal 2018 al 2021 il numero di attacchi gravi è cresciuto del 32%: nel corso dell’anno scorso sono stati individuati 2049 casi, con una media di 171 episodi mensili (il valore più alto mai registrato). E gli atti criminosi diventano sempre più sofisticati, con una propensione a fare rete con la criminalità organizzata. Ma l’anello debole non è dato solo dalle falle nei sistemi informatici: ciò che i criminali sfruttano a loro vantaggio è la vulnerabilità del fattore umano, ossia la carenza di consapevolezza del rischio. Da qui la necessità di intervenire su questo aspetto, ovvero di lavorare direttamente sulle persone. È quanto sta facendo Fasternet, azienda specializzata in trasformazione digitale, information technology e sicurezza informatica, con il programma Cyber security awerness, di cui s’è parlato in sala Libretti con l’ad Giancarlo Turati, Simone Canali (system engineer) e Anna Medeghini, (marketing e comunicazione). «Il problema - osserva Turati (è anche presidente di InnexHub) -, ha tre aspetti fondamentali: i comportamenti, elemento fino a poco tempo fa trascurato; le regole e i dispositivi. Bisogna mettere in campo non solo strumenti e policy opportuni, ma anche portare l’attenzione sul livello di consapevolezza, per aumentare la difesa del sistema informatico e assicurare una continuità operatività all’azienda stessa». Il futuro è già qui: tutto quello che c’è da sapere su Tecnologia e Ambiente. Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione Informativa ai sensi dell’articolo 13 del Regolamento UE 2016/679 o GDPR* iscriviti alla newsletter Il sistema Fasternet, spiega Medeghini, «è basato su un training continuo che poggia su quattro punti»: attività di assessment (valutazione e identificazione dei rischi mediante questionari) e simulazione di campagne fraudolente (ad esempio con l’invio di una mail «malevola»), quindi educate (formazione), measure (misurazione, con report riepilogativi) e reinforce, il rafforzamento complessivo del sistema, che costituisce l’obiettivo finale. Un’applicazione concreta è la case history della Banca di Cividale, che è stata portata da Simona Gandolfo, (gestione e sviluppo del personale): «Avevamo già investito in cybersecurity ma con Fasternet il coinvolgimento del personale è stato diretto». Quali attacchi? Il 91% degli attacchi informatici utilizza come punto di ingresso le mail, sfruttando il social engineering, insieme di tecniche per manipolare la psicologia umana e indurre l’utente a fornire informazioni e dati riservati. Tra le tipologie di inganno architettate, il phishing (truffa progettata per rubare dati come credenziali, numero della carta di credito etc); lo spear phishing, che si concentra su uno specifico target, individuo od organizzazione; il vishing, truffa che utilizza come strumento di veicolazione il telefono e lo smishing, che agisce tramite gli sms; il whaling, che si distingue per la scelta del target d’alto livello. «La sicurezza assoluta non esiste» ammette Simone Canali. Tuttavia molto si può fare per proteggersi, a partire proprio dai comportamenti elementari, come investigare tutti i campi dei messaggi e non rivelare mai informazioni sensibili, specie quando si nutre anche il minimo dubbio.