Quanto costa un attacco informatico all’azienda che viene colpita? Molte le variabili – obiettivi, potenza di fuoco, tecnologia hacker – e tanta la reticenza delle imprese a parlarne apertamente. Allora facciamo una media: 492 mila euro per le aziende di grandi dimensioni e a 33 mila euro per le pmi, secondo un rapporto di Kaspersky Lab sui costi sostenuti dalle aziende nel 2015 per rimediare a una violazione della sicurezza informatica. Ma le cifre possono lievitare: uno studio effettuato dal Ponemon Institute per Akamai su 650 società porta a 1,5 milioni di dollari le perdite per ogni DDoS, una sigla che sta a significare gli attacchi sferrati da più computer contemporaneamente su un unico bersaglio – il vostro server aziendale per esempio – con l’obiettivo di mandarlo in bomba e bloccare l’erogazione di tutti i servizi. Come si calcolano i danni del cybercrime? Un attacco pirata paralizza la vostra azienda con conseguenze disastrose: innanzitutto c’è un mancato guadagno immediato, perché è come se l’azienda si fermasse di colpo, poi vanno aggiunti i costi legati all’interruzione della routine lavorativa interna e agli interventi di riparazione dei danni all’infrastruttura di rete, oltre alle risorse economiche necessarie per ripristinare il calo di produttività delle macchine e degli impiegati e riportarlo ai livelli pre-attacco. Totale: molti soldi.
Uno scenario da incubo, per qualsiasi imprenditore. E non serve correre ai ripari quando tutto è già successo, come la banca d’affari JP Morgan Chase, che ha raddoppiato la spesa in sicurezza, da 250 milioni a 500 milioni di dollari, all’indomani di un furto informatico a danno di 76 milioni di privati e 7 milioni di aziende. No. Qui si tratta di prevenire, giocando d’anticipo sulle mosse dei pirati. Un notevole anticipo. «Almeno cinque anni avanti, ecco il segreto», ci spiega Raoul Brenna, responsabile della pratiche di Information Security del Cefriel-Politecnico di Milano, uno dei centri di eccellenza di ricerca sull’It. «La nostra sfida, e quella delle aziende che vogliono mettersi in sicurezza, è capire oggi quello che accadrà nei prossimi anni. Individuato il rischio, lo si studia in anticipo per trovare le difese o gli eventuali antidoti». Un lavoro da veri contro-hacker. Ma necessario, perché tutto il Web è sotto attacco, con un aumento esponenziale dei bersagli colpiti e delle tecniche maligne. L’ultima, la più devastante, è Cryptolocker, un virus che sequestra i computer e li rende inaccessibili, minacciando di cancellare tutti i dati sensibili se non si paga un riscatto.«La cosa più incredibile è che Cryptolo-ker arriva con un normale messaggio di posta elettronica nel quale s’invita a cliccare un link dal quale parte il virus», sorride Brenna. Come dire: per quanto alte siano le difese informatiche di un’azienda, basta il click ingenuo di un dipendente e si apre la falla. Succede spesso. Troppo. «Quando ci fingiamo hacker e attacchiamo le aziende per metterle alla prova», continua Brenna, «inviamo una semplice email a tutti dipendenti, di quelle che promettono sconti o regali. Ebbene: il 60% del campione clicca sul link e arriva sul sito infetto. Non solo: il 40% di questi inserisce anche le credenziali, per esempio Id o password private e aziendali, per ottenere il regalo fasullo. E così sono loro che regalano a noi l’accesso in azienda. Allora entriamo e infettiamo il Pc installando quel che vogliamo, dal Criptolocker a software ancor più devastanti: ce n’è uno che se ne sta tranquillo senza farsi vedere un anno intero e nel frattempo annusa tutte le procedure aziendali, le password e le barriere, fino a conoscere l’intera struttura IT come se fosse lui, virus, il capo della sicurezza. E a quel punto davvero fa ciò che vuole».
– MAIL PERSONALE AL LAVORO? I RISCHI PER LE IMPRESE
Insomma, è il fattore umano quello più debole quando si parla di sicurezza informatica. «Le imprese e i lavoratori devono restare vigili e analizzare qualsiasi email inaspettata, specie se contenente allegati», conferma Wieland Alge, general manager Emea di Barracuda Networks, fornitore di storage e sicurezza sul cloud. Esistono avanzate tecnologie di sicurezza per prevenire e contenere i possibili danni che possono verificarsi, tuttavia ancora molti utenti che non prendono abbastanza sul serio la minaccia».Nel mirino ci sono soprattutto le pmi, nessuna esclusa, neppure il settore del retail, rimasto immune dagli attacchi fino a qualche anno fa. Quando, secondo il rapporto dell’Associazione italiana per la sicurezza informatica (Clusit), la grande distribuzione organizzata, le catene di punti vendita in franchising e i siti di ecommerce sono stati presi di mira, registrando forti perdite, in alcuni casi nell’ordine delle centinaia di milioni di euro.
• Il russo Evgeniy Bogachev, creatore del trojan ZeuS e GameOverZeuS (GOZ). L’Fbi ha messo una taglia di 3 milioni di dollari. • Alexsey Belan, il pirata che ha rubato i numeri delle carte di credito dei clienti di tre siti di ecommerce americani, rivendendoli sul mercato nero. • Sahurovs, detto Piotrek89, è l’autore di una truffa a danno di migliaia di utenti: infettati dal suo virus e costretti a pagare un riscatto, in totale più di due milioni di dollari, per liberarsi. • Il collettivo Jabberzeus, un gruppo di hacker russi e ucraini: hanno prosciugato milioni di conti correnti e carte di credito. • Sun Kailiang, capitano dell’esercito cinese: è riuscito a rubare i segreti commerciali di molte aziende Usa.
Perché gli hacker colpiscono le piccole e medie aziende? Perché sono le più vulnerabili e redditizie. Lo conferma anche un recente report di Symantec, uno dei più grandi produttori di antivirus al mondo: il 60% degli attacchi è indirizzato verso società medio-piccole che non hanno risorse da investire nella sicurezza informatica e se lo fanno puntano a costruire un muro di difesa molto alto, sentendosi così al sicuro, mentre ignorano che i virus vanno combattuti anche all’interno. Perché, potete starne sicuri, qualche malware prima o poi entra. E molto spesso la falla non è nell’architettura It o nei programmi aziendali, ma negli utenti: il malware, infatti, si installa solo se è il dipendente a permetterlo, pur involontariamente. È il caso del phising, le email che sembrano provenire da chi conoscete e invece sono trappole ben camuffate per rubarvi le credenziali di accesso al conto in banca: per funzionare hanno bisogno che voi clicchiate. Stessa cosa per i temutissimi ransomware, i software che si installano e chiedono un riscatto – ransom in inglese – minacciando il furto dei dati: se il dipendente non scarica l’allegato della email infetta e lo apre, il ransomware non si installa. Il più recente e pericoloso, dicevamo, è Cryptolocker ma esisteva già CTB-Locker, uno dei primi sul mercato e Cryptowall, giunto alla terza versione: con questo software gli hacker sono riusciti a estorcere 18 milioni di dollari solo nell’ultimo anno, secondo un rapporto dell’Fbi. Anche in questo caso, le aziende a rischio sono le pmi, più vulnerabili delle grandi. Come difendersi? Fra i migliori antivirus in commercio c’è F-Secure, capace di individuare e rimuovere sia Cryptolocker che CTB-Locker. Ma prevenire è meglio che curare: per esempio, individuando i comportamen-ti degli impiegati che mettono l’azienda a rischio, soprattutto in quegli ambienti di lavoro dove si permette ai dipendenti di usare i loro device personali anche per lavoro o, viceversa, di portarsi a casa lo smartphone di servizio per uso privato: in questi casi, la negligenza può fare danni notevoli. Pensate al rischio che si corre portando fuori dall’azienda un tablet con tutte le credenziali di accesso alla Intranet aziendale, le presentazioni power point o i fogli excel con il budget. I numeri confermano il fenomeno: sempre secondo l’istituto Ponemon, quest’anno i dispositivi portatili aziendali sono stati uno dei principali veicoli di attacchi malware. Insomma, abbiamo in mano dispositivi vulnerabili e pericolosi e non lo sappiamo. Col telefonino, è come se ogni impiegato si portasse in giro le chiavi dell’azienda. Un hardware portato fuori dalle “mura” dell’azienda può essere attaccato in tanti modi, anche fisicamente: lo si smonta per estrarne la memoria, analizzare le app installate, riscriverle aggiungendo un virus e poi rimettere tutto al suo posto. «Lo abbiamo fatto in laboratorio», ci svela Brenna, «manomettendo un dispositivo aziendale che il dipendente ignaro ha riportato dentro le mura dell’azienda, il giorno dopo, come un moderno cavallo di Troia».
Soluzione? Dove la tecnologia da sola non basta più, dicono gli esperti, arriva in soccorso la formazione: e allora tanti corsi e comunicazione interna per tenere gli impiegati all’erta. Una possibile e nuova risposta tecnologica, invece, potrebbe essere, paradossalmente, il cloud: mettere su una “nuvola” i dati sensibili dell’azienda potrebbe sembrare un rischio, ma il giudizio si ribalta considerando che la nuvola ha sistemi di difesa che nessuna pmi potrebbe mai permettersi. «L’imprenditore che non si fida del cloud cita fra i motivi la sicurezza, ma è più un alibi che un dato di fatto», conferma a Business People Alessandro Piva, responsabile della ricerca dell’Osservatorio Cloud & ICT as a Service del Politecnico di Milano, «perché nella sostanza gli standard di sicurezza del cloud sono molto più elevati di quelli di molte imprese, penso soprattutto alle piccole e medie aziende che non possiedono la tecnologia che i provider di servizi cloud riescono a mettere in campo grazie a maggiori investimenti e competenze più specifiche». Semplificando al massimo, è più sicuro mettere i soldi in banca che tenerli nella cassaforte di casa, anche se ciò non significa che la banca non venga mai rapinata. «Le pmi appena nate partono subito col cloud», continua Piva, «mentre le altre stanno pian pano traslocando. Il risultato è che il mercato cloud in Italia cresce del 25% quest’anno e pensiamo possa raggiungere un valore di un miliardo e mezzo di euro. Sembra davvero», conclude il responsabile dell’Osservatorio del Polimi, «che le ombre che rendevano il cloud un fenomeno talvolta incompreso e incapace di incidere realmente sulle scelte delle imprese siano finalmente svanite». In ogni caso, la liberazione dall’infrastruttura fisica rappresenta un passaggio epocale. «Invece di costruire la propria infrastruttura IT, il 40% delle aziende italiane sta puntando sul cloud computing», conferma Stefano Sordi, direttore marketing di Aruba, «in modo da sfruttare le risorse infor-matiche ospitate da terze parti». Sicurezza compresa.
CONTROMISURE FAI DA TE |
Costano poco, si parte da 200 euro, e sono made in Cina: ecco la nuova frontiera dei software fai-da-te per spiare il cellulare dei dipendenti o le mosse delle aziende concorrenti. I programmi si possono acquistare in Rete – la legge lo permette, ma ne vieta l’installazione e l’utilizzo – e fra gli acquirenti pare ci siano anche liberi professionisti e imprenditori decisi a scoprire, con qualunque mezzo, cosa fanno soci, colleghi e avversari. Funzionano? Tecnicamente sì, ma la difficoltà maggiore sta nel saperli installare e usare: e questo è comunque contro la legge. |
