IT security: guida completa per aziende

In Italia, infatti, si rileva un numero di attacchi superiore rispetto all’andamento globale, in settori come il Government (23% del totale) e il manufacturing (17%), settori su cui, a livello mondiale si concentrano rispettivamente il 12% e il 5% degli attacchi. Gli incidenti rilevati in Italia nel settore manifatturiero, in particolare, rappresentano il 34% del totale degli attacchi censiti a livello complessivo nel settore.

Questi dati emergono dal rapporto semestrale Clusit, l’Associazione Italiana per la Sicurezza Informatica, che considera l’elevata percentuale di successo delle attività cybercriminali in Italia “ascrivibile tanto alle peculiarità del tessuto economico e sociale del Bel Paese, quanto ai fattori che influenzano l’evoluzione della digitalizzazione delle imprese e delle pubbliche amministrazioni”.

In altre parole, l’accelerazione verso il digitale, spinta anche dalla pandemia, ha negli ultimi tre anni investito le PMI italiane, che sembrano ancora impreparate a sostenere la crescente pressione degli attacchi cyber.

In questo articolo vogliamo aiutare a diffondere la conoscenza dell’IT security, descrivendone i principali domini, con particolare attenzione alla network security, per la protezione di reti e dati aziendali e un focus sulla email security, per mettere in sicurezza il veicolo principale degli attacchi informatici. Descriveremo anche alcune delle principali minacce informatiche e i conseguenti rischi per le organizzazioni, con particolare attenzione a una tecnica criminale di frontiera come l’ingegneria sociale. Infine, qualche suggerimento su come proteggere l’integrità dei dati.

La network security è l’area della sicurezza informatica che si occupa della protezione delle reti informatiche dalle minacce cyber. In un mondo sempre più digitalizzato, l’attività di qualunque azienda, indipendentemente dal settore e dalla dimensione, dipende dal buon funzionamento delle reti informatiche per fornire i servizi richiesti dai clienti, dai partner e dai dipendenti. La sicurezza dei sistemi e delle reti informatiche ha lo scopo di proteggere l’integrità dell’infrastruttura di rete, delle risorse e del traffico per contrastare i possibili attacchi e ridurre al minimo l’impatto finanziario e operativo.
La sicurezza delle reti ha tre obiettivi principali:

• prevenire l’accesso non autorizzato alle risorse;
• rilevare e bloccare attacchi informatici e violazioni della sicurezza in corso;
• garantire che gli utenti autorizzati possano accedere senza interruzioni alle risorse di rete. 

La network security deve dunque fornire un insieme di misure preventive, hardware e software, per monitorare e proteggere la rete aziendale da accessi non autorizzati, malfunzionamenti, usi scorretti, distruzione o divulgazione impropria dei dati riservati. 
La crescente digitalizzazione della componente industriale delle attività e l’integrazione fra l’IT, cloud e reti industriali espone anche sistemi di controllo industriale alle minacce informatiche dalle quali erano immuni in passato in quanto isolati. Serve dunque la piena visibilità anche sul livello di sicurezza OT per segmentare la rete industriale e fornire agli strumenti di sicurezza IT anche per dispositivi e processi OT.

Le reti wireless hanno grandi potenzialità e flessibilità di impiego ma non sono sicure quanto quelle cablate. Per evitare che gli hacker le utilizzino come porta di accesso all’impresa, sono necessari opportuni accorgimenti e prodotti appositamente progettati.

Sono utili, in particolare:

• policy di sicurezza relative agli accessi; 
• cifratura dei messaggi;
• metodologie per impedire intromissioni e furti di identità.

Con la diffusione della mobilità e la tendenza dell’IT a supportare le applicazioni aziendali sui dispositivi mobili personali, i criminali informatici hanno come obiettivo anche i dispositivi mobili e le app. È dunque fondamentale controllare quali device possono accedere alla rete e configurare le loro connessioni per mantenere privato e sicuro anche il traffico delle reti wireless.

 

Un attacco informatico è un tentativo malevolo e intenzionale da parte di un individuo o di un'organizzazione di violare il sistema informatico di un’organizzazione. Di solito, l'hacker viola la rete della vittima per ottenere un vantaggio economico o per attirare l’attenzione mediatica su una causa politica o sociale. In questo secondo caso si parla di attivismo digitale che punta a interrompere le attività o a distruggere sistemi, dati e reputazione di un’azienda o di un’istituzione.

Il Report Semestrale Clusit 2023 fa il punto sulla diffusione delle principali minacce, ponendo al primo posto il malware, termine che include diversi software malevoli, ad esempio spyware, ransomware, virus e worm. Vediamoli più nel dettaglio:

• Un malware viola una rete sfruttando una vulnerabilità, con il contributo inconsapevole di un utente che seleziona un link pericoloso o apre un allegato malevolo ricevuto via e-mail; 
• Il ransomware resta uno dei reati informatici più temuti in quanto un hacker crittografa i dati aziendali che risultano inaccessibili con l’obiettivo di ottenere un riscatto (da poche centinaia di euro a milioni in base delle possibilità della vittima) in cambio della chiave di decrittazione. Il pagamento che ripristina l’accesso non mette tuttavia al sicuro dalla diffusione dei dati che può essere oggetto di un secondo riscatto.

Il numero di attacchi di questo genere, in valore assoluto, non ha subito un calo significativo ma diminuisce, per la prima volta, il suo valore percentuale, indicando probabilmente che gli attaccanti hanno individuato nuovi reati informatici più efficaci ai loro scopi. Stanno crescendo, invece, in modo preoccupante gli attacchi:

• Distribuited-Denial-of-Service (DDoS), una delle tecniche più utilizzate dagli attivisti, passando dal 4% del 2022 allo spaventoso 30% del primo semestre 2022. L’incidenza in Italia è estremamente più elevata rispetto a quella registrata nel campione complessivo, che si ferma al 7,9%. Un attacco DDoS invia enormi flussi di traffico, utilizzando in genere più dispositivi compromessi, a sistemi, server o reti, per esaurirne le risorse e la banda. Il sistema sotto attacco non è più in grado di soddisfare le richieste degli utenti autorizzati. 
• Il phishing consiste nell'inviare comunicazioni fraudolente, generalmente via email, simulando una fonte affidabile, con l'obiettivo di rubare dati sensibili o di installare un malware sul computer nella rete della vittima. È fra le minacce informatiche più diffuse e in aumento;
• Il Social Engineering (a cui è dedicato, di seguito, un approfondimento) ha raggiunto nel primo semestre del 2023 un’incidenza del 14% in Italia, contro l’8,6%, globale. Anche in questo caso è urgente una maggior sensibilizzazione e consapevolezza da parte degli utenti italiani;
• Il Man in the middle (MitM) consiste, infine, nella capacità dell’hacker di inserirsi in una transazione fra due parti, per sottrarre i dati sensibili o di valore. I punti di accesso possono essere reti Wi-Fi pubbliche non sicure, dove gli hacker possono inserirsi per esfiltrare i dati e installare sul dispositivo un malware in grado di elaborare tutti i dati della vittima.

La email security si riferisce alle tecniche utilizzate per garantire la sicurezza delle informazioni sensibili coinvolte nelle comunicazioni via email, evitando accessi non autorizzati o compromissioni degli account. Garantire la sicurezza delle email è particolarmente importante visto che rappresenta il vettore di attacco più impiegato dai cybercriminali per indurre le vittime a divulgare informazioni personali, aprire allegati o cliccare su link malevoli in grado di installare i malware sui loro dispositivi e sulla rete aziendale. I cybercriminali utilizzano una serie di tecniche fraudolente come:

• Spoofing, la falsificazione degli header delle email; 
• Esfiltrazione, la sottrazione di dati sensibili dal sistema di posta elettronica dell’azienda;
• Account Takeover, l’utilizzo dell’account della vittima per inviare email phishing o per accedere a dati sensibili;
• Furto d’identita, ossia l’estorsione di informazioni personali da impiegare per scopi illeciti.

Raggiunta la consapevolezza che le email non sono un canale sicuro, gli IT manager, gli esperti della cybersecurity e le funzioni decisionali dovrebbero definire politiche, personalizzate sulla base delle esigenze aziendali, che definiscano il modo in cui gli utenti interagiscono con le email. Potrebbero inoltre identificare te  cnologie e strumenti per rilevare e neutralizzare automaticamente potenziali minacce (secure email) o ancora ricorrere a security service. 

L'ingegneria sociale, definita anche hacking umano, è l’arte di ingannare le persone per convincerle a fornire informazioni sensibili, utilizzando la manipolazione psicologica, sfruttando gli errori e le debolezze umane, più che le vulnerabilità dei sistemi informatici e delle reti. L'ingegneria sociale evidenzia quanto il fattore umano continui a rappresentare l’anello debole della catena di protezione della cybersecurity. Come conferma il report “ENISA Threat Landscape 2023”, pubblicato a ottobre 2023, il 74% delle violazioni vede coinvolto l’elemento umano.

Un attacco di ingegneria sociale rappresenta spesso la prima fase di un attacco informatico su larga scala. Ad esempio, un criminale informatico potrebbe indurre la vittima prescelta a condividere il suo nome utente e la sua password e utilizzare queste credenziali per installare un ransomware sulla rete aziendale.

L'ingegneria sociale funziona in quanto unisce le conoscenze sulla motivazione umana con le competenze informatiche per manipolare le emozioni e gli impulsi delle vittime, secondo schemi collaudati che inducono le persone a compiere azioni contrarie ai loro stessi interessi.

Per farlo creano messaggi artefatti che sembrano provenire da autorità, enti governativi o di pubblica sicurezza, cercando di indurre paura o un senso di urgenza. In altri casi le tattiche di ingegneria sociale possono fare appello ai buoni sentimenti delle vittime. Ad esempio, un messaggio che sembra provenire da un amico o da un sito di social network che chiede un aiuto o la condivisione di un post, fornisce un link contraffatto che abilita il download di un malware.

La tecnica del pretexting prevede invece la creazione di un problema, creato in modo fittizio dal truffatore che si presenta alla vittima come la persona giusta per risolverlo. È il caso in cui l’hacker crea ad esempio un messaggio di warning che comunica una violazione informatica e chiede informazioni riservate sull’account o il controllo del dispositivo per risolvere la situazione. 

 

Il quadro che si va delineando evidenzia quanto sia complesso formulare una strategia e mettere in atto azioni concrete per garantire la protezione e l’integrità dei dati e delle risorse critiche. Difficilmente un’impresa italiana di dimensioni piccole e medie ha a disposizione internamente le competenze necessarie per fronteggiare attacchi cyber sempre più frequenti e in continua evoluzione.

Per farlo servirebbe un ecosistema di cybersecurity capace di comprendere sia la formazione e il coinvolgimento delle persone per aumentarne la consapevolezza sia soluzioni tecnologiche che includano la capacità di individuare dinamicamente le minacce attraverso strumenti e metodologie come la threat intelligence. Per prevenire la perdita di dati e la diffusione di informazioni sensibili, si dovrebbero mettere in atto misure di sicurezza basate sulla conoscenza degli attacchi passati e disponendo delle informazioni sull’evoluzione delle tecniche sempre più evolute hacker che gli esperti di cybersecurity condividono all’interno della comunità IT globale.

Per uscire dall’impasse, l’ideale sarebbe affidarsi a un partner competente come DigitelNet che, grazie alle sue competenze, all’esperienza maturata e alla sua rete di fornitori, può supportare in modo efficace l’azienda nella protezione dell’integrità dei dati aziendali dalle minacce informatiche e nella reazione tempestiva, in caso di attacco, riducendo al minimo le conseguenze.

L’impegno di DigitelNet è garantire le massime prestazioni di affidabilità e sicurezza dell’infrastruttura digitale per fornire all’azienda uno strumento al servizio del business senza interruzioni. Consapevole che ogni azienda ha esigenze specifiche anche nel campo della sicurezza, DigitelNet mette a disposizione un referente con cui dialogare, senza necessità di passare per un centralino.