di Tancredi Cerne
«Sareste disposti a salire in auto con uno sconosciuto che guida una macchina senza freni, airbag e cinture di sicurezza? La risposta è quasi certamente no. Ecco, ogni giorno in Italia milioni di cittadini e di imprese entrano in internet con estrema incoscienza, senza dotarsi di quel minimo di consapevolezza e di buonsenso che potrebbe proteggerli da rischi enormi di natura economica e reputazionale».
A lanciare l’allarme, Stefano Mele, presidente della Commissione sicurezza cibernetica del Comitato Atlantico Italiano, oltre che uno dei principali esperti di diritto delle tecnologie, privacy e cybersecurity. Un tema, quello della sicurezza informatica, riportato alla ribalta dalle cronache dei giorni scorsi quando il virus «WannaCry» si è reso responsabile di un’epidemia su larga scala, andando a colpire più di 200 mila computer. «Il virus ha criptato i file presenti sui computer chiedendo un riscatto di alcune centinaia di dollari per decriptarli», ha spiegato Mele secondo cui, a finire nella rete dei cyber criminali, ci sarebbero colossi economici del calibro di Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Tuenti, Renault. Ma anche il National Health Service britannico, il Ministero dell’interno russo e l’Università degli Studi di Milano-Bicocca. Oltre naturalmente a migliaia, se non milioni, di piccole e medie imprese e di utenti privati. Un problema non da poco, quello del crimine informatico. Tanto da essere stato indicato dall’Ocse come il rischio più sentito dalle aziende di cinque dei sette Paesi più industrializzati. A tal punto da aver imposto la creazione di un nuovo segmento assicurativo, dedicato proprio a sterilizzare il rischio informatico dall’attività di impresa.
Domanda. Con quale criterio vengono selezionati gli obiettivi da parte dei pirati informatici?
Risposta. Quello di WannaCry è un virus salito alle cronache perché ha preso in ostaggio inizialmente i computer del sistema sanitario britannico. Ma ogni giorno, nel mondo, vengono perpetrate migliaia di attacchi simili. Con target diversi. Le organizzazioni criminali hanno la capacità di studiare con precisione i propri obiettivi di riferimento, andando a costruire malware studiati sulle capacità di spesa di blocchi omogenei di computer infettati.
D. Si spieghi meglio
R. Un cyberattacco ideato per prendere in ostaggio il computer di utenti privati prevede la richiesta di un riscatto di poche centinaia di euro. I criminali sanno benissimo che un cittadino è disposto a spendere al massimo 200-300 euro per vedersi restituito l’accesso alle foto di famiglia o i documenti di casa che custodiva nel pc. Diverso è il caso delle imprese per cui il denaro richiesto può arrivare a qualche migliaia di euro.
D. Come avviene il pagamento del riscatto?
R. Si ricorre sempre al pagamento in moneta virtuale. Per sperare di ottenere il codice di sblocco del computer, gli utenti devono creare un portafoglio Bitcoin e versare l’importo richiesto sul conto indicato dai criminali. Tutte le transazioni possono essere osservate sul portale www.blockchain.com che tiene traccia di ogni scambio di Bitcoin avvenuto su scala mondiale. Quello che è difficile, invece, è risalire a chi sta dietro ai singoli portafogli identificati attraverso quelle singole sequenze numeriche che caratterizzano i portafogli Bitcoin. L’unico modo per cercare di scoprirlo, è seguire i movimenti dei soldi nel momento in cui vengono utilizzati, spostandoli dal conto principale. Peraltro, in alcuni casi si tratta di criminali molto sofisticati che spesso utilizzano i proventi di queste attività per alimentare altre attività illecite legate al traffico di stupefacenti a quello delle armi. E concludendo trattative e pagamenti nel cosiddetto internet parallelo o delle darknet. Una porzione del web che non viene indicizzata dai motori di ricerca. Di fatto, un enorme contenitore di informazioni composto da oltre 200 mila siti, raggiungibili e fruibili solo da chi ne conosce l’allocazione attraverso l’utilizzo di particolari strumenti.
D. In questo scenario, come si stanno attrezzando le imprese in Italia per scongiurare il rischio di essere oggetto di un attacco informatico?
R. In Italia, purtroppo, siamo ancora molto lontani dal prendere sul serio il problema del cybercrime e dello spionaggio industriale. Soprattutto a livello di piccole e medie imprese. Le aziende dotate di importante know how o di una mole notevole di informazioni rilevanti anche sotto il punto di vista dei dati personali stanno invece cominciando a investire per mettersi al riparo dai rischi informatici. Come pure le aziende classificabili come infrastrutture critiche nazionali. I problemi maggiori riguardano invece le pmi che non sembrano aver ancora compreso l’entità del rischio. Domina ancora la cultura della reazione al danno subìto piuttosto che quella della prevenzione. Ma non è più tempo di prendere la cosa sotto gamba. Non esiste più alcun settore che non sia stato colpito da crimini informatici o da attività di spionaggio. E la minaccia continua a crescere di anno in anno. Secondo i dati riportati nella relazione sulla politica dell’informazione per la sicurezza della presidenza del consiglio del ministri, nel 2015 i target principali erano le imprese operanti nei settori della difesa, delle telecomunicazioni, dell’aerospazio e dell’energia. L’anno scorso, invece, ai primi posti sono saliti il settore bancario con il 17% delle minacce (+14% rispetto al 2015), le agenzie di stampa e le testate giornalistiche. Non solo. Il 5% degli attacchi ha riguardato per la prima volta le aziende farmaceutiche, al pari di quelle della difesa, aerospazio ed energia.
D. Stante la scarsa attenzione riservata dagli imprenditori al rischio di attacchi informatici, esiste un prontuario di operazioni indispensabili da mettere in atto per crearsi, quanto meno, un primo, basilare scudo contro le minacce provenienti dalla rete?
R. Raramente la messa in sicurezza dei sistemi informatici e delle informazioni contenute può essere vista come un processo sintetizzabile in pochi principi. Nonostante questo, possono essere delineate alcune regole essenziali. In primo luogo, è necessario creare una lista di programmi affidabili e indispensabili per la produttività aziendale, impedendo l’installazione di qualsiasi altra applicazione. Bisogna poi configurare in maniera sicura tutto l’hardware e il software presente all’interno del parco dei dispositivi aziendali, sia fissi che mobili. Ma anche aggiornare sistemi operativi e programmi al massimo entro 48 ore dal rilascio delle patch. Senza dimenticare di limitare il numero di utenti con i privilegi di amministratore/root e configurare gli account utenti in modo che abbiano i privilegi minimi richiesti per eseguire le attività loro assegnate. Si deve poi predisporre un’efficace difesa del perimetro della rete aziendale (ammesso che si riesca ancora a rintracciarlo) attraverso l’utilizzo di firewall e antivirus, impedendo ai dipendenti la navigazione di siti inappropriati o potenzialmente pericolosi. Infine, è necessario impostare una politica di autenticazione attraverso password complesse (non meno di 8 caratteri, alfanumeriche, con l’inserimento di almeno una lettera maiuscola e un carattere speciale), obbligandone la modifica ogni tre mesi e impedendo l’utilizzo almeno delle cinque password precedentemente utilizzate.
D. E cosa fare, invece, per scongiurare il furto o la perdita di dati?
R. Ogni azienda dovrebbe prevenire l’uso non autorizzato e la trasmissione di informazioni aziendali riservate attraverso specifiche politiche di data loss prevention e controllare l’utilizzo in azienda dei supporti di memoria rimovibili (chiavette Usb, hard disk esterni, cd-rom esterni e memory card). Senza mai dimenticare di attuare un’efficiente politica di backup, utile soprattutto ad arginare il problema dei ransomware, e di disaster recovery volta a prevenire eventuali perdite di dati. In parallelo, ogni imprenditore dovrebbe convincersi ad avviare al più presto programmi di formazione del personale sull’utilizzo degli strumenti informatici aziendali, sulla sicurezza informatica e delle informazioni, sulla privacy e la protezione dei dati personali. Perché la prima arma di cui disponiamo per contrastare i crimini informatici resta ancora il buonsenso.
© Riproduzione riservata
Fonte: