SecureMail: aumentare la sicurezza delle e-mail per le PMI

Le e-mail dominano la nostra vita quotidiana. Che passiamo la giornata in ufficio o che siamo fuori sede da mattina a sera, le e-mail costituiscono il canale di comunicazione principale per la maggior parte delle PMI. Proprio per questo sono un bersaglio appetibile per gli attacchi informatici. Come possono proteggersi efficacemente le PMI?
Una donna e un uomo guardano insieme un computer portatile

L’Ufficio federale della cibersicurezza (UFCS) segnala settimanalmente attacchi di phishing via e-mail, ransomware diffusi tramite e-mail oppure spam che, nel migliore dei casi, si limita a intasare le caselle di posta elettronica. Le piccole e medie imprese sono bersagli prediletti dai criminali informatici. Da un lato perché in genere sono meno protette delle grandi imprese, dall’altro perché mancano di know-how interno in materia di sicurezza informatica. Per questo motivo, per molte PMI svizzere la sicurezza delle e-mail rappresenta il tallone d’Achille del proprio sistema di sicurezza. Ma non necessariamente: con pochi semplici accorgimenti, le PMI possono proteggere efficacemente le loro comunicazioni e-mail strategiche, e quindi i loro dati sensibili.

Comprendere la minaccia: come attaccano i criminali informatici

Per molte imprese le e-mail sono il canale di comunicazione principale. Per questo motivo, per penetrare in un sistema IT e causare danni i criminali informatici preferiscono utilizzare la casella di posta elettronica. Le minacce più comuni:

  • Phishing: con questa truffa, i criminali informatici inviano e-mail false per indurre i destinatari a rivelare informazioni riservate come password o dati delle carte di credito. Spesso le e-mail appaiono ingannevolmente autentiche e sembrano provenire da un mittente affidabile. Leggete qui come proteggervi dal phishing.
  • Malware: i criminali informatici inviano software malevolo tramite e-mail. Basta un clic su un allegato o un link per permettere loro di accedere al sistema, bloccarlo o cancellare, rubare e vendere dati. Spesso chiedono un riscatto per sbloccare nuovamente il sistema o i dati. Leggete qui come proteggervi dal ransomware.
  • Spam: i criminali informatici utilizzano la posta indesiderata per inondare e bloccare le caselle di posta elettronica, compromettendo così la produttività dei destinatari. Le e-mail di massa sono spesso tentativi di phishing oppure contengono malware. Lo spam rappresenta quindi un rischio per la sicurezza delle e-mail.
  • Frode: i criminali informatici inviano e-mail con fatture false o manipolate. Nelle frodi con manipolazione di fatture, inviano ad esempio una vecchia fattura con un nuovo numero IBAN o chiedono che in futuro il denaro venga trasferito su un altro conto. Lavorano con trucchi di social engineering, facendo riferimento ad esempio a precedenti comunicazioni via e-mail.

Le conseguenze (dalle fughe di dati, passando per le perdite finanziarie e i tempi di inattività, fino ai danni alla reputazione) possono mettere a repentaglio l’esistenza stessa di un’impresa. A prescindere dalle sue dimensioni. Leggete qui come proteggervi dagli attacchi degli hacker.

Sicurezza delle e-mail: misure tecniche di protezione

In una strategia di sicurezza a 360°, le misure tecniche di protezione sono una componente fondamentale. Con queste misure le PMI possono proteggere efficacemente i propri account e-mail e quindi i loro dati:

  • Password: delle password forti costituiscono la prima linea di difesa di un sistema di sicurezza e proteggono da accessi non autorizzati all’account e-mail. Una password sicura è lunga almeno 12 caratteri, è variegata (lettere maiuscole e minuscole, numeri e caratteri speciali), casuale, unica e individuale. Verificate qui la sicurezza della vostra password.
  • 2FA (o MFA): l’autenticazione a due fattori rappresenta un ulteriore livello di sicurezza. Per accedere alle e-mail, oltre alla password è necessario un secondo fattore, ad esempio un codice di sicurezza inviato sullo smartphone. Questo rende l’accesso molto più difficile per i criminali informatici. Leggete qui come proteggere la vostra rete e i vostri dati con 2FA e MFA.
  • Cifratura: le e-mail che, ad esempio, vengono cifrate con PGP (Pretty Good Privacy) o S/MIME possono essere aperte e lette solo dal destinatario corretto. Sono disponibili inoltre servizi di facile utilizzo come SEPPmail, sviluppato in Svizzera e Germania e conforme all’RGPD.
  • Formato sicuro: assicuratevi di inviare e ricevere e-mail solo in formati sicuri ed evitate ad esempio le e-mail in formato HTML. I criminali informatici amano infatti nascondere nel codice HTML link dannosi o codice malware eseguibile.
  • Visualizzazione delle immagini: i contenuti esterni, come le immagini presenti nelle e-mail HTML, possono caricare ed eseguire automaticamente codice dannoso. È pertanto opportuno disattivare la visualizzazione di contenuti esterni nel proprio programma di posta elettronica.

Sicurezza delle e-mail: formazione e sensibilizzazione di collaboratori e collaboratrici

La persona è spesso l’anello più debole di un sistema di sicurezza. Per questo motivo la sensibilizzazione e la formazione del personale sono importanti almeno quanto le misure tecniche di protezione. Un’adeguata informazione dei collaboratori e delle collaboratrici riduce notevolmente i rischi di attacchi informatici. È pertanto fondamentale che essi ricevano una formazione regolare su come riconoscere le e-mail fraudolente, identificare i messaggi sospetti e reagire in modo appropriato per evitare danni. I possibili argomenti di formazione includono:

  • Fatture false: collaboratori e collaboratrici imparano a riconoscere le fatture false e a non farsi ingannare da richieste di pagamento fraudolente.
  • Frode del CEO: collaboratori e collaboratrici apprendono come operano i truffatori che si fingono ad esempio CEO di un’azienda, come riconoscere questi tentativi di frode e come segnalarli al meglio.
  • E-mail di phishing: collaboratori e collaboratrici imparano a riconoscere le e-mail di phishing e vengono sensibilizzati e sensibilizzate in merito alle caratteristiche specifiche di questo tipo di attacco.
  • Allegati e link: collaboratori e collaboratrici imparano a gestire in modo sicuro gli allegati o i link presenti nelle e-mail di lavoro, riducendo così al minimo il rischio di infezione da malware.
  • Protezione dei dati: collaboratori e collaboratrici imparano come i dati personali vanno trattati, archiviati e protetti in conformità alla Legge federale sulla protezione dei dati e al Regolamento generale sulla protezione dei dati dell’Unione europea, in modo che non finiscano nelle mani sbagliate.

Suggerimento

 Zurich offre corsi di sensibilizzazione alle imprese. Il personale viene sensibilizzato in merito ai rischi informatici attraverso cinque moduli di e-learning e una simulazione di phishing. Impara tra l’altro come riconoscere le e-mail fraudolente e come aumentare la sicurezza delle e-mail per l’impresa. Il corso è gratuito per le imprese titolari di una cyber assicurazione «Basic», «Optimum» o «Premium» per un massimo di 100 collaboratori e collaboratrici.

Sicurezza delle e-mail = misure tecniche + sensibilizzazione + formazione

Il tutto è più della somma delle sue parti. Le singole misure sono efficaci, tuttavia realizzano il loro pieno potenziale solo nell’interazione. Grazie alle giuste misure, anche le piccole e medie imprese possono aumentare la sicurezza delle e-mail con uno sforzo relativamente ridotto. Ciò include, ad esempio, l’uso di password forti e l’autenticazione a due fattori per gli account di posta elettronica, la cifratura delle e-mail, la limitazione a formati sicuri, la sensibilizzazione e la formazione regolare dei collaboratori e delle collaboratrici. Inoltre, le PMI dovrebbero introdurre direttive in materia di protezione dei dati e monitorare costantemente i propri sistemi per rilevare eventuali attività sospette.

Calcolate subito quanto costa una cyber assicurazione per la vostra impresa, oppure fissate una consulenza. I nostri esperti e le nostre esperte sapranno consigliarvi soluzioni di sicurezza su misura per la vostra impresa.

Cyber assicurazione per le PMI in Svizzera
I media riportano periodicamente notizie relative ad attacchi informatici. Quello che leggiamo o ascoltiamo è solo la punta dell’iceberg. Le piccole e medie imprese sono particolarmente a rischio perché considerate facili vittime. Per questo motivo è opportuno che si preparino a eventuali attacchi informatici, proteggendosi anche dai rischi finanziari.

FAQ: Domande tecniche sulla sicurezza delle e-mail per le PMI

Qual è la differenza tra l’e-mail basata su cloud e un server e-mail locale?

E-mail basata su cloud 

  • Vantaggi: i servizi di posta elettronica basati su cloud sono scalabili, offrono aggiornamenti automatici e patch di sicurezza periodiche. Spesso sono più efficienti in termini di costi e offrono disponibilità e ridondanza elevate. Con molti operatori non serve nemmeno preoccuparsi del backup o dell’archiviazione delle e-mail.
  • Svantaggi: dipendenza da operatori terzi e/o da connessioni Internet. Potrebbero esserci problemi di protezione dei dati, in quanto i dati vengono memorizzati al di fuori del proprio controllo.
  • Sicurezza: gli operatori di servizi cloud spesso implementano efficaci misure di sicurezza e filtri e-mail per rilevare le e-mail dannose. Tuttavia, è importante verificare le disposizioni sulla protezione dei dati e le pratiche di sicurezza. 

Server e-mail locale 

  • Vantaggi: controllo completo sui dati e sull’infrastruttura di sicurezza e maggiori possibilità di adeguamento alle esigenze specifiche dell’impresa.
  • Svantaggi: costi più elevati e oneri maggiori per la manutenzione e l’esercizio. Sono necessarie proprie risorse IT e conoscenze specifiche.
  • Sicurezza: manutenzione regolare, aggiornamenti di sicurezza e backup per garantire la protezione dei sistemi dalle minacce. Inoltre, sarebbe necessario implementare una soluzione di sicurezza che analizzi le e-mail in arrivo per identificare eventuali minacce. 

Quali sono i metodi di cifratura più sicuri?

 PGP (Pretty Good Privacy) offre una cifratura end-to-end forte per le e-mail. S/MIME (Secure Multipurpose Internet Mail Extensions) utilizza certificati digitali per la cifratura e la firma delle e-mail. SEPPmail è un servizio di cifratura di facile utilizzo per la comunicazione sicura via e-mail. 

Come riconosco le e-mail esterne?

Le e-mail esterne possono essere identificate da riferimenti specifici nell’oggetto, ad esempio «Esterno». Meccanismi come SPF (Sender Policy Framework) consentono di verificare l’autenticità del mittente e di ridurre il rischio di phishing.

Come riconosco gli account e-mail compromessi e come reagisco?

Spesso potete riconoscere gli account e-mail compromessi dal fatto che ricevete e-mail insolite o sospette da mittenti noti. Fate attenzione a uno stile di scrittura insolito, ad allegati e link strani o a orari di invio al di fuori del normale orario di ufficio. In caso di dubbio, è meglio chiamare il (presunto) mittente una volta in più piuttosto che una volta in meno e verificare così l’autenticità del messaggio.

Cosa sono le firme digitali e come possono essere utili?

Le firme digitali utilizzano l’infrastruttura a chiave pubblica (Public Key Infrastructure, PKI) e il metodo Domain Keys Identified Mail (DKIM) per garantire l’autenticità e l’integrità delle e-mail. Garantiscono che un’e-mail provenga effettivamente dal mittente specificato e non sia stata modificata durante la trasmissione.

Come proteggo un server e-mail locale?

Se utilizzate un server e-mail locale come Microsoft Exchange, assicuratevi che siano installati regolarmente tutte le patch e gli aggiornamenti. Utilizzate una zona demilitarizzata (DMZ) per una segmentazione sicura della rete e limitate i diritti di amministrazione. Pianificate inoltre dei backup periodici. I server e-mail locali spesso non dispongono di meccanismi di protezione sufficientemente affidabili contro phishing, spam o malware. È quindi opportuno implementare un software di sicurezza aggiuntivo specializzato che controlli in modo completo le e-mail in arrivo e identifichi tempestivamente le possibili minacce. Chiedete al vostro fornitore di servizi gestiti o in outsourcing quale soluzione di posta elettronica gestisce e ospita e come la protegge in modo efficace.

Cosa si intende per archiviazione a norma di legge?

L’archiviazione a norma di legge richiede la memorizzazione sicura e tracciabile di e-mail e dati in conformità ai requisiti di legge. Vi rientrano il rispetto dei termini di conservazione e delle direttive in materia di protezione dei dati e la garanzia che, se necessario, i dati possano essere ripristinati integralmente e senza modifiche. Leggete al riguardo la risposta alla domanda «Esiste una strategia di backup adeguata per le e-mail delle PMI?» riportata più avanti.

Come può una PMI inviare grandi volumi di dati in sicurezza?

I seguenti servizi o misure possono essere utilizzati per inviare grandi volumi di dati in modo sicuro:

  • Servizi di posta elettronica come ProtonMail o SEPPmail consentono di inviare e ricevere e-mail (con o senza allegati) in modo sicuro e cifrato.
  • Servizi di trasferimento dati come WeTransfer Ultimate trasferiscono i file in forma cifrata e protetta da password.
  • I servizi di archiviazione basati su cloud come Dropbox Business, Google Drive o Microsoft 365 condividono i file in modo cifrato e con autenticazione a due fattori.
  • I protocolli di trasferimento file come il Secure File Transfer Protocol (SFTP) trasferiscono i dati in forma cifrata.

Esiste una strategia di backup adeguata per le e-mail delle PMI?

I backup regolari sono fondamentali per prevenire la perdita di dati e garantire la continuità dell’attività. Ecco alcune strategie collaudate:

  • Backup regolari: create backup giornalieri o settimanali di tutte le e-mail e conservateli in un luogo sicuro.
  • Posizioni di archiviazione ridondanti: eseguite i backup in più sedi (fisiche o nel cloud) per garantire la disponibilità dei dati anche in caso di guasto di una sede.
  • Soluzioni di backup automatizzate: utilizzate soluzioni software che eseguano backup automatici e verificate l’integrità dei backup.

Leggete qui quello che c’è da sapere sui concetti di backup e sul backup dei dati per le imprese.