Quando ci domandiamo se possiamo essere dei potenziali bersagli dei malviventi digitali, riceviamo sempre una risposta positiva dai professionisti della sicurezza, e ritengo sia molto stimolante capirne il motivo.
Anche se a volte può sembrare un tentativo di vendere un prodotto, la maggior parte dei professionisti punta davvero a proteggerti
I dirigenti aziendali generalmente hanno la tendenza a sottovalutare il rischio, specie quando si trovano di fronte ai preventivi di parcella per la messa in sicurezza dell’azienda. In questa sede il mio interesse non è quello di difendere i professionisti del settore, ma sensibilizzare i dirigenti e i privati perché possono diventare degli obiettivi e quali misure sarebbe ragionevole prendere in considerazione.
Per fare questo bisogna determinare il fattore di rischio e cosa fare.
Per valutarlo non c’è nulla di meglio che misurare la probabilità che un dato evento si verifichi e quali conseguenze possa portare con sé, stabilendo un punteggio sulla scala di 1 a 5 da apporre sia sulla probabilità che questo si verifichi, sia sulla sua conseguenza, ed eseguire una semplice moltiplicazione. Il risultato di questo calcolo genererà una classifica, che ci consentirà di capire cosa affrontare per prima, prendendo misure volte a ridurre o limitare l’impatto dell’evento dannoso.
Interessante è capire perché molti sottovalutano il rischio mentre i professionisti di sicurezza tendono a sopravvalutarlo. Ruolo centrale di questa analisi è un fattore, definito “sconosciuto” che i dirigenti e le persone non tecniche trascurano o peggio non conoscono.
Partiamo dalle aziende. Le relazioni di affari sono motivo di valutazione, perché mentre la tua azienda potrebbe avere un indice di rischio basso, i tuoi clienti o fornitori potrebbero essere degli obiettivi ad alto valore. Poniamo il caso che un potenziale cliente venga derubato delle proprie credenziali mail, un hacker venga a conoscenza che è in corso una trattativa per un grande accordo, e che questi invii un malware nascosto in un documento che ha tutte le sembianze dei file scambiati in precedenza. Si possono verificare due scenari: il primo è che il cliente se ne renda conto ed intervenga, il secondo è che non se ne avveda e ne venga infettato. In entrambi i casi la tua reputazione viene compromessa e si perde l’opportunità di chiudere il contratto.
Questo è il motivo per cui non solo bisogna valutare la sicurezza della propria azienda, ma anche quella di ogni relazione commerciale.
È da valutare anche il fattore di rischio interno, la prima lezione che impariamo è quella di non aprire allegati provenienti da persone non conosciute, ma se il file proviene da un collega lo apriamo senza batter ciglio. Per questo è importante difendere non solo l’account dell’amministratore delegato, ma anche quello di tutti i dipendenti.
Dobbiamo considerare anche il monitoraggio passivo difatti l’hacker potrebbe aver monitorato per mesi un determinato account nell’attesa di colpire o semplicemente rivendere gli accessi ad una terza parte, interessata a sfruttare l’hardware per altri fini. Conseguentemente anche le aziende “meno interessanti” in termini di fatturati, possono essere colpite.
Poi ci sono i privati, per i singoli individui viene valutato il rischio di essere trasformati in proxy, da utilizzare per sferrare attacchi. Qui non è importante il tuo valore intrinseco, ma quello della tua macchina o della tua identità.
Le reti bot, ad esempio, sono una rete di computer sulla quale è in azione un software, in grado di gestirli in remoto al pari di una flotta.
L’identità, quindi, ha più valore del denaro nel mondo dei criminali digitali. La liquidità è relativamente facile da trovare, ma avere un’identità reale può generare molto più denaro di un conto in banca.
Partiamo dall’assioma della cyber sicurezza: “there is no silver bullet”, non esiste alcun prodotto in grado di proteggerti dalla A alla Z, e la tendenza di molti professionisti del settore è quella di sopravvalutare il pericolo diffondendo la paura. In tante occasioni si è rivelato essere l’unico mezzo in grado di far agire le persone. L’alternativa è quella di passare intere giornate di lavoro tentando di spiegare la natura tecnica degli attacchi, con il rischio che determinate dinamiche non vengano comprese. Utilizzare la paura nella trattativa non è il massimo, e al giorno d’oggi le persone sono stanche di dover acquistare per la “strizza” che qualcosa che non hanno mai vissuto si verifichi.
E’ come installare l’antifurto sulla macchina, non ne abbiamo bisogno finchè non subiamo il furto, ma ci saranno tanti che questo furto non lo subiranno mai.
La soluzione potrebbe essere quella di scollegarsi da internet e trasferirsi in una foresta, ma francamente non mi entusiasma. Quello che consiglio è cercare di rendere la vita più difficile ai malintenzionati. Un hacker raramente punterà ad un singolo individuo, piuttosto lancerà una rete cercando di prendere più pesci possibili, e se ti considera un pesce difficile da catturare, passerà al successivo. Questo vale anche per le aziende, basta assicurarsi di fare un po’ meglio degli altri. Bisogna pensare la rete come il proprio appartamento, ad un hacker come uno scassinatore. Non lasceremo mai la porta aperta e l’allarme disattivato solo perché è più comodo.
Sia come individuo che come imprenditore faccio parte di quelli che non capiscono il rischio a cui siamo esposti, troppi articoli, troppe parole nonostante corsi e percorsi fatti perché resi obbligatori per la mia azienda, ma questo articolo rende l’idea chiara e nitida su quanto il sottovalutare tali rischi può renderci vulnerabili e attaccabili, sicuramente fare economia sulla sicurezza dei nostri dati non è solo un danno eventuale per noi ma per tutta la rete di clienti e dipendenti come chiaramente descritto in questo articolo.