Cyber Security e Sicurezza Informatica Aziendale: 15 Misure Minime da Adottare
Su www.digital4.biz è stato pubblicato un interessante approfondimento sulle misure minime necessarie che le piccole e medie imprese è bene che adottino per far fronte alle criticità legate alla Cyber Security.
L'articolo parte facendo riferimento all'attacco informatico WannaCry, in corso in tutto il mondo, a seguito del quale sono stati infettati centinaia di migliaia di computer di privati, istituzioni e aziende attraverso un virus "ransomware", che tecnicamente rende inaccessibili i dati sui computer, a meno di non pagare un riscatto agli hacker. Riscatto che però, sottolineano tutti gli esperti, non dà affatto la garanzia di riavere l'accesso ai propri dati.
Ma WannaCry è solo l'episodio più recente. Quasi ogni giorno i media riportano notizie di violazioni di sistemi informativi con sottrazioni di dati sensibili (anagrafiche clienti, estremi di carte di credito, brevetti industriali, ecc.) che comportano costi e danni anche molto ingenti.
Il problema è che i “cyber-criminali” non attaccano soltanto banche e grandi multinazionali: gran parte del loro fatturato deriva da attacchi a migliaia di medie, piccole e micro imprese. Attacchi che non leggiamo sulle prime pagine ma che possono minare la sopravvivenza stessa di queste realtà, molto meno preparate delle grandi imprese ad affrontare richieste di riscatto o di risarcimento, e forti cali di reputazione e di immagine.
Eppure molti degli attacchi alle PMI sarebbero arginabili, perché sfruttano vulnerabilità molto banali nei loro sistemi informativi, o la scarsa consapevolezza del personale interno sui rischi di certi comportamenti o omissioni. Proprio WannaCry per esempio sfrutta una vulnerabilità di vecchie versioni di Windows che Microsoft ha corretto lo scorso marzo: per cui attacca soltanto computer che non vengono aggiornati da mesi.
Il concetto cruciale è che la vulnerabilità informatica delle PMI non è un problema solo delle PMI, anzi. Il loro livello di difesa di fronte ai cyberattacchi è decisivo per la sicurezza di intere filiere produttive. Un numero crescente di attacchi a grandi imprese capo-filiera avviene infatti attraverso vulnerabilità nei sistemi di qualche loro piccolo fornitore, come dimostra il noto caso di Target, la catena di supermercati discount che ha subito il furto di oltre 40 milioni di dati relativi a carte di credito personali a causa di un attacco informatico su un suo fornitore di sistemi di raffreddamento.
E questo è un rischio destinato a crescere ulteriormente per la forte trasformazione digitale in corso del manifatturiero (Industria 4.0) che aumenterà l’integrazione nelle supply chain, e quindi la “superficie potenziale d’attacco”. In effetti, la Cybersecurity è proprio uno degli ambiti in cui sono previsti incentivi agli investimenti dal piano governativo per Industria 4.0 (Piano Calenda).
Cyber Security e Sicurezza Informatica Aziendale: il Report del CIS e del Laboratorio Nazionale di Cybersecurity
Per questo il CIS (Research Center of Cyber Intelligence and Information Security) dell’Università La Sapienza di Roma, e il Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica), hanno definito 15 Controlli Essenziali di Cybersecurity, derivati attraverso un processo di progressiva semplificazione dal Framework Nazionale di Cybersecurity (FNCS), pubblicato un anno nell’Italian Cybersecurity Report 2015.
I 15 Controlli essenziali, si legge nel “2016 Italian Cybersecurity Report” del CIS Sapienza e del CINI, sono stati selezionati attraverso un processo di consultazione pubblica a cui hanno partecipato oltre 200 esperti di settore, e sono pensati come punto di partenza di un percorso virtuoso che porti le piccole e micro imprese a implementare misure di sicurezza via via più complesse e articolate aderenti al FNCS.
Il panorama economico italiano è costituito, nella stragrande maggioranza, da imprese medie, piccole e piccolissime che non hanno personale specifico dedicato alla Cyber Security, spiega il report. “In molte di queste realtà i computer vengono usati in modo promiscuo (lavoro e tempo libero), i server risiedono in luoghi non protetti e non si sa quanti e quali computer possano connettersi alla rete, dove siano attestati i dati aziendali, la proprietà intellettuale, le metodologie di produzione, i progetti innovativi, il libro clienti ecc.”. Ecco spiegata quindi la necessità dei 15 Controlli, definiti “misure minime di sicurezza”, spiegate in modo semplice e facilmente attuabili da un amministratore di sistema di un azienda piccola o media, senza specifiche conoscenze di sicurezza informatica.
Cyber Security e Sicurezza Informatica Aziendale: i 15 Controlli
I 15 controlli spaziano dall'inventario di sistemi e dispositivi all'aggiornamento all'ultima versione.
In dettaglio, i 15 controlli sono i seguenti:
1) Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso entro il perimetro aziendale.
2) I servizi web (social network, cloud, e-mail, spazio web, ecc..) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
3) Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
4) È stato nominato un referente responsabile per il coordinamento delle attività di gestione e protezione delle informazioni e dei sistemi informatici.
5) Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
6) Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornato.
7) Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
8) Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
9) Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
10) Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, usare solo software autorizzato, ecc.). I vertici aziendali hanno cura di predisporre per tutto il personale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
11) La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
12) Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (definiti al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
13) Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
14) In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
15) Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
Cyber Security e Sicurezza Informatica Aziendale: i Danni Finanziari Potenziali di un Attacco Informatico
Il danno finanziario potenziale per una PMI, calcolato da Kaspersky Lab, si aggirerebbe intorno ai 35mila euro all'anno, tra costi di recovery, perdita di volume di affari, tempi di inattività e danno d’immagine.