Key4biz

AssetProtection. Contrasto al cybercrime: siamo sicuri che le PMI abbiano compreso i rischi?

Cybercrime

L’impressione che si ha seguendo i dibattiti in tanti convegni e congressi che trattano il crimine digitale, è che le soluzioni ci siano, ma servano a poco; infatti, le organizzazioni colpite sono sempre di più, e crescono anche i danni.

Sappiamo che sono messe in atto difese attraverso strati di antivirus ed anti malware; si mettono in piedi sempre più sofisticati e professionali CERT; ma l’hacker riesce comunque ad entrare e provocare seri danni, che qui – per brevità – non stiamo a ricordare.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Onde cercare di capire le ragioni, facciamo una breve ipotesi.

Immaginiamo che una azienda sia colpita. A questo punto molto probabilmente il vertice aziendale, dopo aver ricevuto informazioni circa le conseguenze, si pone interrogativi relativamente all’avvenuto rispetto di semplici regole relative all’analisi dei rischi ed alla dovuta informazione del lavoratore (ma l’”untore” potrebbe essere stato il datore di lavoro…).

E’ naturale, ma il problema è un altro. Il dipendente coinvolto in un processo critico è stato addestrato a sospettare di tutto e di tutti? La crescente sofisticazione degli attacchi fa sì che il mittente può risultare un collega, o un fornitore, o un cliente, o comunque uno stakeholder, e l’oggetto ed il modo in cui era stata scritta la email non poteva non indurre il dipendente ad aprire l’allegato.

Anche se l’azienda si è coperta le spalle con adeguate istruzioni, ed ammesso e non concesso che conduca una sensibilizzazione continua ed efficace dei dipendenti e del personale anche esterno che opera nella organizzazione, il danno oramai è stato compiuto. Più tardi l’azienda se ne accorge e peggio è.

Ma ammettiamo per un attimo che al dipendente, nell’esempio dell’allegato alla email, sorga il sospetto che si tratti di una trappola: l’allegato conteneva un malware oppure no? In caso affermativo ha fatto un guaio. Avverte la Sicurezza? Il suo capo? Molto probabilmente prenderà paura. Si ricorderà dei fogli firmati e delle minacce implicite.

Non è da escludere che fra sé e sé rifletterà e, nel dubbio, penserà di essersi sbagliato e che non è successo nulla.

Ed il tempo passa…E i danni crescono…

Le aziende, che hanno adottato l’approccio suggerito dalla metodologia di business continuity, affrontano i possibili rischi a “tutto tondo”; ciò significa che hanno studiato come proteggere i dati ed i processi operativi critici ed ha adottato, oltre a misure preventive commisurate ai possibili danni, anche misure su come contenerli e su come ripristinare la situazione al meglio.

Il dipendente non deve sentirsi in colpa se ha avvisato immediatamente, con tempestività chi di dovere di un suo dubbio. La sofisticazione delle tecniche usate sono tali da rendere difficile capire se si è in presenza o meno di un attacco.

Quindi, i progetti di sensibilizzazione del personale sono tempo perso se non sono:

Se dovessimo chiedere il parere, su quanto sin qui detto, ad una piccola azienda, ho paura che risponderebbe così (mi piacerebbe essere smentito):

Mi si consenta di concludere in questo modo:

Exit mobile version