Come evitare i costi delle intrusioni hacker? Spendendo, ovviamente. Sembra una banalità, ma preservare il patrimonio informativo aziendale è cruciale nella competizione globale e merita un’apposita voce a bilancio, proprio come se fosse materia prima necessaria alla produzione.
Commissionare test trasversali sulla penetrabilità dei sistemi informatici è il primo strumento utile a raggiungere lo scopo. Aziende specializzate nell’ambito della cybersecurity sono in grado di generare report che inquadrano a 360 gradi il livello di sicurezza delle piattaforme digitali, consentendo di stabilire una scala di priorità da attuare per proteggersi più efficacemente da attacchi esterni. I test devono mettere sotto torchio i protocolli di rilevamento delle intrusioni, la robustezza dei canali di comunicazione hardware, la configurazione del cloud e non solo.
Trasversalità è la parola chiave. Sono tante infatti le possibili porte d’accesso dei malintenzionati e per ognuna di queste è necessario prevedere soluzioni ad hoc. Le e-mail, ad esempio, sono uno dei principali fronti nelle guerre informatiche. È necessario assicurare la presenza di un sistema di autenticazione multi-fattore, verificare il comportamento della piattaforma alla ricezione di e-mail contenenti link o allegati dannosi ed esaminare la risposta a tentativi di accesso non autorizzato. Deve inoltre essere analizzato il processo di prevenzione di perdita di dati nelle e-mail verso l’esterno.
Di estrema importanza è inoltre lo studio accurato del codice, spesso costruito in maniera disomogenea e talvolta poco manutenibile. I bug dei software se risolti con non sufficiente impegno possono aprire praterie sterminate a orde di briganti, pronti a introdurre payload maligni per portare al meglio a termine la propria missione di esfiltrazione dei dati.
Una buona politica di sicurezza non può inoltre limitarsi ad analizzare il software, ma deve prestare particolare attenzione a chi lo usa. Il fattore umano è decisivo e le più riuscite campagne di aggressione cercano di sfruttarne le debolezze e le negligenze. Queste ultime in particolare vengono prese di mira nel cosiddetto Password spraying, una tecnica abbastanza di base per infiltrarsi nelle infrastrutture informatiche, che consiste nel provare ad accedere usando le password più comunemente adottate. Si ottiene in questo modo un accesso semplice, ma con tappeto rosso e picchetto d’onore alla principale porta d’accesso dell’azienda nel mirino.
Più sofisticata è la tecnica del Baiting scam, che prevede un coinvolgimento emotivo da parte di un dipendente. Navigando su un qualsiasi browser può essere oggetto di annunci allettanti che lo portino a navigare su siti compromessi o che spingano a scaricare applicativi infestati di malware. Tipico di questa categoria è lo scareware, un popup che può comparire in una qualsiasi pagina che riporti un avviso di pericolo immediato per il computer in uso.
Particolarmente pericoloso per le aziende è lo Spear phishing, che richiede molto più lavoro da parte di un hacker perché è basato sull’analisi delle caratteristiche delle vittime. È a tutti gli effetti un mirino di precisione che, per essere impiegato, necessita che siano conosciute la posizione lavorativa e i contatti della vittima. Un possibile scenario è quello della ricezione di una mail da parte di un consulente d’azienda che si rivolge ad un dipendente esattamente come farebbe quello vero prevedendo informazioni precise, ben scritte, che siano interessanti per la vittima e la portino a rivelare in qualche modo dati sensibili o addirittura dati di accesso.
I poveri dipendenti possono essere anche vittima di algoritmi di intelligenza artificiale basati su tecniche di ingegneria sociale. Con questo termine si denota un ampio insieme di attività volte a costruire un identikit completo ed affidabile dell’identità della vittima e delle sue interazioni digitali. Sulla base di tali informazioni l’algoritmo produce una serie di stimoli indirizzati all’obiettivo da colpire, finalizzati all’esecuzione di un determinato comportamento desiderato. Proprio come la pubblicità influenza le nostre scelte, tutte queste attività devono essere improntate a determinare una desiderata condotta -irresponsabile- da parte dell’utente. Far affidamento sull’errore umano risulta spesso il cavallo vincente per i criminali informatici, perché più sottile e meno predicibile quindi potenzialmente più dannoso.
Per rispondere ai potenziali agguati che la rete è sempre pronta a propinare, le aziende – come si diceva all’inizio – devono essere dunque pronte ad investire. Il capitale deve servire non solo a migliorare le piattaforme, ma anche il personale che ne fa uso. La formazione continua è decisiva nella lotta, altrimenti impari, contro i malintenzionati.
