Cerca

Domenica 19 Novembre 2017 | 11:46

L'hacker: imprenditori attenti le vostre aziende sono a rischio Confsec: a Bari una giornata di formazione

di RITA SCHENA
L'hacker: imprenditori attenti le vostre aziende sono a rischio Confsec: a Bari una giornata di formazione
di RITA SCHENA

Raoul Chiesa è uno dei più noti «ethical hacker» italiani e martedì 13 ottobre sarà a Bari presso Una hotel Regina per parlare (insieme ad altri esperti) di sicurezza informatica al Confsec, una giornata di confronto e formazione pensata ed organizzata su misura per le imprese del Sud, per metterle in guardia sui rischi che corrono. Abbiamo contattato Raoul Chiesa mentre è in volo per la Lettonia ed ha rilasciato una intervista alla «Gazzetta» sul tema della sicurezza informatica ed i rischi che si corrono oggi con tanti dati che passano attraverso la Rete.

Sicurezza informatica e imprese: quanto rischiano oggi le aziende? Il ransomware è solo uno degli ultimi (in ordine di tempo) problemi che si rilevano, ma ce ne sono sicuramente altri. Quanto è alto il pericolo?
Il pericolo per le imprese è altissimo. Purtroppo nel nostro Paese abbiamo ancora difficoltà nel capire ed accettare un concetto molto semplice: oggi tutto il nostro business dipende dai computer. Ho visto aziende chiudere letteralmente la serranda, perchè i loro progetti, brevetti e piani industriali erano stati rubati attraverso Cyber Espionage. Allo stesso modo, ho visto società pubbliche e privati pagare riscatti da 5.000, 10.000, addirittura 50.000 Euro, pur di riavere accesso ai propri dati, i quali erano stati resi non disponibili ("cifrati") dal criminali che si muovono nel sistema digitale. Le persone hanno ancora in mente i personaggi alla Hollywood di alcuni film sull'hacking e sul cyber, mentre è necessario dirlo con tutta la voce possibile: il crimine organizzato di alcune nazioni (Russia ed Ucraina in testa) hanno in mano il cybercrime, che è ad oggi il quarto crimine globale per ordine di importanza, dopo il traffico di droga, di esseri umani e di armi.

Piccola azienda, grande azienda, tutte ugualmente esposte o ci sono differenze?
Ognuna ha dei pro e dei contro. La piccola azienda patisce il fatto di non avere un Security Manager dedicato, così come un Data Protection Officer (la figura europea di quello che da noi in Italia era il vecchio "responsabile privacy"): hanno a malapena un responsabile informatico (IT o ICT manager), quando esiste. La grande azienda invece ha questo tipo di figure professionali al proprio interno, ma è ovviamente più esposta alle minacce rispetto ad una PMI.

I ransomware di cui parlavamo un attimo fa sono dei malware (dei virus di tipo avanzato, per dirla più semplicemente) i quali inibiscono l'accesso a tutti i file presenti sul proprio computer. Quando il malware non è recentissimo, gli antivirus lo rilevano e bloccano, ma se si tratta di "roba nuova", c'è una finestra temporale durante la quale le aziende sono a rischio. Tutto ciò non dipende però dalla tecnologia (se abbiamo o meno il firewall o altri strumenti di difesa) che le aziende hanno al proprio interno, dipende invece dall'utente, quindi i dipendenti delle aziende.

Parliamo di cifre: in termini di percentuale di fatturato, quanto dovrebbe investire un'azienda per potersi sentire sicura? E quanto può costare invece il non farlo?
La logica e l'esperienza dicono almeno l'1% del fatturato aziendale. Ci sono organizzazioni, aziende ed enti per i quali la disponibilità, la sicurezza, la riservatezza e l'integrità delle informazioni sono essenziali, e quindi ho visto questa percentuale variare al 3%, 5%, in casi particolari anche sino al 10%. Non investire... può anche portare al fallimento.

Ci si lamenta una scarsa attenzione sulla sicurezza informatica da parte delle imprese, salvo poi piangere sul latte versato. E' solo un problema di investimenti e risorse che non ci sono, o anche culturale? C'è una diferenza se si parla con un vecchio imprenditore o uno più giovane, sempre culturalmente parlando?
Il problema è soprattutto culturale. Siamo il Paese del "anche se c'è l'obbligo di legge, chi me lo fa fare?", ma soprattutto siamo il Paese del "ma figurati se succede proprio a me! Per ora non faccio nulla, poi se succede qualche cosa vedremo". Spesso vedo investimenti in sicurezza informatica fatti male, precedenza data al "ferro", come diciamo in gergo (hardware, server, computer portatili e tablet) piuttosto che ai servizi, alla consulenza mirata, alla formazione.
Invece la formazione è essenziale e cruciale quando si parla di contrasto al cybercrime. Infatti, se un dipendente clicka su un'email di phishing, inconsapevolmente fornirà il proprio nome utente e password a qualche malintenzionato. Se invece abboccherà ad un'altro tipo di "email cammuffate", allora creerà una breccia di sicurezza all'interno della propria organizzazione, e da quella falla passeranno i criminali per rubare tutto ciò che è possibile rubare, iniziando proprio dai dati personali e dalle informazioni di business presenti nell'azienda target.

Aziende, ma anche persone: quali sono le principali minacce oggi che arrivano dal web e come fare per contrastarle?
Le minacce principali sono sicuramente le campagne di Phishing (mirate o meno), ovverosia l'invio di email cammuffate per legittime (la nostra banca, un ditta di trasporti, un'azienda che ci contesta una fattura, la famosa "vincita alla lotteria", e così via) e che hanno lo scopo di far sì che siamo proprio noi ad inviare ai cybercriminali i nostri dati (personali, aziendali, etc), facendoci una sorta di "lavaggio del cervello" ed utilizzando tecniche di convincimento che in gergo viene chiamato "Social Engineering", Ingegneria Sociale in italiano.

La scorsa stagione è andata in onda una serie tv "Cyber Csi", non so se ti è capitato di vederla. Può servire spettacolarizzare una questione così seria? Può invece creare un effetto boomerang, con persone (o imprenditori) che si spaventano e si chiudono a riccio? Eventualmene come se ne può parlare seriamente?
Vi confesso che, quando sono in Italia, vedo le puntate di Cyber CSI e, al contrario di altri casi simili, è ben fatto, c'è sempre una sorta di "glossario" e spiegazione dei termini all'inizio di ogni puntata, i casi esposti sono veritieri, è quello che incontrano sul campo i miei colleghi proprio quando fanno Digital Forensics. Non credo che gli imprenditori si debbano spaventare, ma che anzi debbano essere informati dei rischi che corrono, ed aiutati nell'intraprendere un nuovo percorso.

Un passo indietro: le nuove generazioni nate con internet sono anche quelle che meno avvertono i pericoli connessi, furti d'identità prima ancora delle carte di credito, cosa si deve fare (quali livelli di attenzione usare)? Se non altro perchè i tanti giovani che oggi si espongono incauti, possono essere gli imprenditori di domani....
Parliamo di "Security Awareness": sensibilizzare, avvertire, informare, formare, rendere partecipi dei rischi che possono esserci on-line. Due settimane fa ho partecipato, sia come relatore che come co-organizzatore, alla conferenza "Cybersecurity in Romania". Insieme ai colleghi organizzatori, per questa terza edizione, abbiamo voluto fare awareness proprio ai più giovani: abbiamo portato un totale di 700 ragazzi, 400 bambini dai 5 ai 9 anni, e 300 dai 10 ai 16 anni. Abbiamo invitato un attore, che ha recitato il ruolo di un mago capace di "leggere la mente" (idea presa da dei colleghi del Belgio), chiamato una persona sul palco, ed "indovinato" tantissime informazioni personali su di lui. Alla fine abbiamo fatto vedere come tutte quelle informazioni e quei dati privati, arrivassero in realtà da Internet: i suoi profili su Facebook e Linkedin, Twitter e Flickr, il suo sito web personale, siti comunali e della Pubblica Amministrazione, siti di annunci tipo E-bay, e così via. I ragazzi hanno capito!

Lascia il tuo commento

Condividi le tue opinioni su

Caratteri rimanenti: 400

Altri articoli dalla sezione