Proteggersi dagli attacchi hacker come PMI

Nessun sistema informatico è protetto al 100 percento contro gli attacchi degli hacker. Le piccole e medie imprese sono spesso il bersaglio perfetto, perché dispongono di minori risorse finanziarie o umane rispetto alle grandi aziende e sono meno in grado di proteggersi. Tuttavia, come dimostra la retrospettiva annuale degli attacchi hacker della NZZ, anche le grandi aziende, e persino la Confederazione, non sono immuni da attacchi: nel giugno 2023, ad esempio, durante la visita del Presidente ucraino Volodymyr Zelensky, sono stati paralizzati i siti web del Parlamento, della Posta, delle FFS, del Dipartimento federale di giustizia e polizia (DFGP) e delle città di Zurigo, Losanna, San Gallo, Montreux e Sciaffusa. A marzo 2023, la stessa NZZ è stata vittima di un attacco. I criminali informatici hanno rubato dati riservati, criptato file e ricattato l’editore. L’articolo «Hacker criminali attaccano e ricattano la NZZ: verbale di una crisi» (in tedesco) descrive chiaramente come funziona un attacco informatico e quanto possono essere gravi le conseguenze.

Perché la resilienza informatica è così importante

Ogni settimana, l’Ufficio federale della cibersicurezza (UFCS) riceve da diverse centinaia a 2’000 segnalazioni di incidenti informatici. Tutti sono a rischio: governi, infrastrutture critiche come fornitori di energia o ospedali, imprese statali e gruppi industriali. Ma anche le piccole e medie imprese. Le PMI devono pertanto prepararsi agli attacchi dal punto di vista tecnico-organizzativo, sensibilizzare il loro personale in merito ai temi della sicurezza IT e della protezione dei dati e potenziare la propria resilienza informatica. In psicologia, per resilienza si intende la capacità di far fronte a situazioni difficili della vita senza farsi travolgere. Nell’ambito della sicurezza informatica, la resilienza è la capacità di proteggersi dagli attacchi informatici, di riconoscerli, reagirvi prontamente e riprendersi in tempi rapidi dai loro effetti.

Come i criminali informatici attaccano le PMI

I criminali informatici sono costantemente impegnati a sviluppare nuovi metodi e a perfezionarli. Ecco le varianti di attacco più comuni.

• Phishing: la persona è l’anello più debole di qualsiasi catena di sicurezza IT. Per questo motivo i criminali informatici cercano di manipolare le loro vittime attraverso il social engineering, portandole ad esempio a rivelare password e dati riservati o a cliccare su un dato link. La tecnica più diffusa è il phishing, basato su e-mail o messaggi che fingono di provenire da una fonte affidabile.
• Ransomware: i criminali informatici si infiltrano nel sistema IT, scaricano tutti i dati, li criptano e bloccano il sistema. Chiedono quindi un riscatto, da cui il termine «ransomware», per la restituzione dei dati e lo sblocco del sistema. Se la vittima si rifiuta, minacciano di pubblicare i dati o di venderli sul dark web.
• Attacchi DDoS: i criminali informatici inviano migliaia o milioni di richieste a una rete, a un server o a un sito web. Queste richieste sovraccaricano il sistema fino a farlo collassare e, ad esempio nel caso di un negozio online, lo rendono inaccessibile. Il traffico di dati dannosi spesso si interrompe solo dopo che la vittima ha pagato un riscatto.

Proteggersi dagli attacchi hacker come PMI

Quando sono in gioco la sicurezza IT e la protezione dei dati, il tutto è più della somma delle singole parti. Backup periodici, l’uso di un firewall e un antivirus aggiornato sono senz’altro utili, ma non bastano da soli a proteggere il sistema IT e i dati. Per questo, a prescindere dalle loro dimensioni, le aziende necessitano di una strategia globale. Alla base della strategia vi sono la valutazione e la gestione dei rischi, misure di protezione tecnico-organizzative, la formazione e la sensibilizzazione del personale, la preparazione alle emergenze e un piano di emergenza.

Valutazione e gestione dei rischi

Per avere sotto controllo i rischi, è necessario conoscerli. Tramite una strategia di valutazione dei rischi, le aziende possono identificare i rischi potenziali e ricavarne misure adeguate a ridurli al minimo. Di seguito sono illustrati i tre elementi più importanti di un’efficace strategia di valutazione dei rischi.

• Definire gli obiettivi, identificare i potenziali fattori di rischio e stabilire le modalità di valutazione degli effetti di un attacco informatico.
• Identificare gli asset e i dati fondamentali per la sopravvivenza dell’azienda, introdurre misure di protezione tecnico-organizzative e definire la priorità di asset e dati critici nell’ambito della valutazione dei rischi.
• Definire, introdurre e applicare metodi, tecniche e strumenti volti a quantificare i rischi, identificare i punti deboli e ridurre i rischi al minimo. Ad esempio, modelli di minaccia, matrici di rischio o analisi delle vulnerabilità.

Misure di protezione tecnico-organizzative

Le aziende che vogliono proteggere efficacemente i loro dati e sistemi IT devono rivedere il proprio approccio alla sicurezza informatica e alla protezione dei dati, aggiornare i processi e introdurre strumenti adeguati.

• Ogni PMI ha bisogno di un’analisi dei rischi per tutti i sistemi e i dati da proteggere e di una gestione professionale delle crisi basata su un piano di emergenza IT. Inoltre, tutti i collaboratori e tutte le collaboratrici devono essere regolarmente istruiti sulla gestione sicura di dati e e-mail e sensibilizzati in relazione ai possibili punti deboli.
• I diritti di accesso devono essere revocati ogni volta che qualcuno lascia l’azienda, verificati a ogni cambio di funzione e aggiornati una volta all’anno. Le password vanno modificate regolarmente e non devono mai essere condivise con altre persone. Gli accessi a distanza dovrebbero essere limitati nel tempo e nello spazio e vanno protetti accuratamente, ad esempio mediante una soluzione di autenticazione a più fattori.
• Il sistema operativo, tutti i programmi, l’antivirus e il firewall vanno costantemente aggiornati. Tutti i dati devono essere sottoposti a backup regolari, quelli importanti giornalmente o anche con maggiore frequenza. Durante i backup i dati non devono essere semplicemente sovrascritti, altrimenti i dati storici andranno persi. Una copia del backup corrente deve essere conservata separatamente dalla rete, in modo che i dati siano disponibili anche dopo un attacco.

Formazione e sensibilizzazione del personale

Il principale punto debole di qualsiasi piano di sicurezza IT è l’elemento umano. I criminali informatici sfruttano questo aspetto attraverso il social engineering (vedi «Come i criminali informatici attaccano le PMI»). Le aziende devono quindi sensibilizzare il proprio personale su temi quali il phishing, le password e la navigazione sicura. Una formazione regolare, linee guida chiare e processi semplici permettono di sviluppare una cultura della sicurezza in tutta l’azienda e promuovono un senso di responsabilità condiviso. Poiché la sicurezza dell’IT e dei dati è competenza dei vertici, la Direzione, i membri della Direzione e tutti i superiori devono dare il buon esempio, sottolineando l’importanza della sicurezza IT e della protezione dei dati in azienda attraverso il loro comportamento

Preparazione alle emergenze e piano di emergenza

Prevenire è meglio che curare, e certamente è anche più economico. Nel migliore dei casi, un guasto prolungato dei sistemi IT costa «solo» denaro; nel peggiore dei casi, può costare l’esistenza dell’azienda. Ogni PMI necessita quindi di un piano di emergenza IT per essere meglio preparata agli attacchi informatici. Il piano di emergenza IT ...

• ... documenta i sistemi IT, le reti e le applicazioni rilevanti, le interdipendenze e i possibili effetti sui processi critici per l’azienda.
• ... fornisce modelli per la comunicazione con clienti, fornitori, partner e gruppi di interesse come l’Ufficio federale della cibersicurezza (UFCS).
• ... contiene liste di controllo con compiti e responsabilità per gli scenari di emergenza IT più probabili, come violazioni di dati, attacchi hacker o guasti di sistema.
• ... elenca tutti i documenti che possono essere utili in caso di emergenza, ad esempio l’inventario, gli elenchi dei e delle clienti e del personale, la documentazione del sistema e delle applicazioni o i piani di ripristino.

Le violazioni della LPD possono costare caro

In Svizzera, il trattamento e la protezione dei dati personali sono regolamentati dalla Legge federale sulla protezione dei dati (LPD) e dal Regolamento generale sulla protezione dei dati (RGPD) dell’Unione europea. Le leggi stabiliscono come possono essere trattati i dati personali e come gli stessi, e quindi la privacy, debbano essere protetti. Le aziende che violano la LPD rischiano di essere punite con multe fino a 250’000 franchi svizzeri. Tuttavia, il danno in termini di reputazione e fiducia è spesso più grave e in molti casi può mettere a repentaglio l’esistenza stessa dell’azienda. Le aziende che desiderano tutelarsi da violazioni della LPD o del RGPD devono introdurre delle best practice per il Compliance Management con idonei meccanismi di controllo, linee guida e procedure.

Sicurezza informatica: un buon consiglio non costa granché, ma è molto prezioso

Zurich Resilience Solution e aiuta le grandi aziende a rafforzare la loro resilienza informatica. Il piano globale si basa sulla prevenzione e sulla protezione dai rischi finanziari. Le soluzioni coprono tutti gli aspetti importanti della sicurezza IT e della protezione dei dati. Zurich Resilience Solutions ...

• ... elabora insieme alle imprese strategie di valutazione dei rischi, identifica asset e dati critici e raccomanda tecniche e strumenti per l’analisi e la riduzione dei rischi. Ad esempio audit sulla protezione dei dati, test di penetrazione o scansioni delle vulnerabilità.
• ... fornisce consulenza alle imprese in merito all’introduzione di misure di sicurezza fisiche o di rete, come programmi anti-malware, firewall o tecnologie di crittografia e soluzioni di monitoraggio della rete IT.
• ... forma e sensibilizza il personale in merito ai temi della sicurezza IT e della protezione dei dati, tra l’altro con il Cyber Escape Game, che simula attacchi informatici e insegna in modo divertente ai collaboratori e alle collaboratrici come reagire adeguatamente alle minacce.
• ... fornisce consulenza alle imprese su questioni relative alla protezione dei dati e le aiuta a osservare tutte le leggi e le normative in materia. Queste includono tra l’altro le best practice per il Compliance Management e controlli in tempo reale sulla conformità dei loro fornitori terzi.

Link utili

• Segnalare un incidente informatico alla polizia cantonale
• Ufficio federale della cibersicurezza (UFCS): informazioni per le aziende
• Ufficio federale per la cibersicurezza (UFCS): segnalare un incidente informatico all’UFCS
• Ufficio federale per la cibersicurezza (UFCS): segnalare una vulnerabilità
• Prevenzione Svizzera della Criminalità: tematica Internet
• digitalswitzerland: Infrastructure & Cybersecurity (in Inglese)