La perdita di dati in azienda secondo l’esperto un rischio sottovalutato
IT ForensicsSarà che la maggior parte degli imprenditori (o managers che dir si voglia) si sentono intoccabili, sarà che l’opinione diffusa su tutto il territorio italiano è che basti avere un buon impianto d’allarme per sentirsi al sicuro.
Secondo voi, arreca più danno un rapinatore che, travisato, vi sottrae l’incasso della giornata o un dipendente infedele che, indebitamente, si appropri della contabilità o delle scelte strategiche della vostra azienda salvate sui PC a servizio della vostra attività?
Spesso accade che le società italiane non si accorgano di subire furti o altre forme di frodi, oppure se ne accorgono quando ormai è troppo tardi per porvi rimedio.
In Italia un’azienda su cinque ha subito frodi informatiche e il 70% di queste è rappresentato dall’appropriazione indebita di dati e/o informazioni strategiche da parte dei dipendenti della stessa ditta.
A focalizzare l’attenzione su questo fenomeno è il Crime Survey 2016, indagine realizzata da PWC tra luglio 2015 e febbraio 2016 su 6300 soggetti, in 115 Paesi, compreso il nostro.
Dall’indagine è emerso che, in Italia, nonostante i rischi del cybercrime siano ritenuti “gravi” sia per il presente che per il futuro, appena il 50% delle organizzazioni ha predisposto un piano per eventuali attacchi.
Il nostro Paese certamente ripone una grande fiducia nelle forze dell’ordine impegnate nella repressione del cyberterrorismo, benché adeguati sistemi di prevenzione interni alle aziende consentirebbero certamente una maggiore tutela del patrimonio informatico. Ciò è ancor più vero se si considera che meno della metà degli eventi fraudolenti viene di fatto sventata da adeguati strumenti di monitoraggio interni.
La disattenzione delle imprese in questo settore è tale da determinare gravi pregiudizi al patrimonio aziendale, considerati in particolare i danni diretti, in termini di perdita di dati e informazioni rilevanti, che indiretti quali le ingenti spese necessarie per il loro recupero.
Per tali ragioni è il caso di ricorrere ai ripari, prima che sia troppo tardi!
Un’attenta politica di backup e di sicurezza IT preposta da personale adeguato comporta costi che, nel medio-lungo periodo sono di gran lunga più contenuti rispetto ad un intervento post “catastrofe”.
Ho avuto modo, nel corso degli anni, di valutare politiche di sicurezza di aziende di medie e grandi dimensioni riscontrando, nella maggior parte dei casi, la totale assenza di politiche di ripristino di dati (disaster recovery), tanto che in alcune fasi di audit venivo considerato un “alieno”, quando sottoponevo ai responsabili della sicurezza delle domande banalissime, utili a comprendere la loro consapevolezza dell’importanza di un dato digitale.
Per non parlare delle piccole imprese (meno di dieci dipendenti), lì dove il Personal Computer serve solo per stampare una fattura o per visionare un catalogo.
In questo caso, alle mie domande:
“Avete un elenco dei prodotti che trattate?”
“Avete un sito internet o una pagina Facebook?”
“Da questa pagina ricevete email con la richiesta di informazioni?”
Alle loro risposte affermative ho posto altre domande:
“Avete mai sentito parlare di cryptolocker o di virus che transitano tramite email?”
“Avete una copia di sicurezza dei vostri listini e/o della vostra contabilità?”
A questo punto i loro volti diventavano pallidi, dopo aver compreso, seppur minimamente, il danno che avrebbero potuto subire in conseguenza di un attacco informatico, tale da poter comportare finanche la chiusura della loro attività.
La maggior parte degli utenti intervistati da chi scrive ha ancora una concezione errata del criminale informatico, associandolo al prototipo di questi fornito dai media televisivi, non rendendosi conto che molto spesso, egli è seduto accanto a loro: l’Insider (criminale interno all’azienda) è di solito un soggetto laureato, in alcuni casi plurilaureato, con circa 3/5 anni di servizio e con età compresa tra i 30 ed i 40 anni, che solitamente riveste cariche significative all’interno dell’azienda, “vicine” alla direzione.
Quanti dipendenti di un’azienda entrano in contatto con il “patrimonio” aziendale con il rischio di cancellare dati importanti?
Quanti di questi sono pronti a “vendere” informazioni riguardanti la propria azienda?
Non serve un’infrastruttura di rete ultra tecnologica (tipo firewall) se manca la formazione adeguata dei singoli componenti aziendali.
Cosa dobbiamo aspettarci?
Alcuni ricercatori affermano che nel giro di pochi anni assisteremo a delle minacce informatiche sempre più frequenti, visto che ormai si parla quasi esclusivamente di “mondo connesso”.
La dimostrazione è data dal fatto che tutti noi subiamo la tecnologia, senza rendercene conto, considerato che siamo obbligati ad aggiornare il software di messaggistica installato sul nostro smartphone, “spiati” dalla miriade di videocamere installate ovunque, obbligati ad utilizzare pagamenti elettronici, ecc.
Si tratta soltanto di essere consapevoli dei rischi e cercare di mettere in atto delle politiche di sicurezza idonee a metterci al riparo dalle cosiddette “catastrofi”.
Dobbiamo renderci conto che non basta più un antivirus o un portone blindato a proteggerci.
La vera sicurezza deve partire dalle nostre abitudini e dal modo “responsabile” di usare la tecnologia.
Dott. Silverio Greco – IT Security Manager – Specialista di Sistemi di Telecomunicazioni – Esperto in Digital Forensics e docente di Criminalistica e Intelligence in corsi di specializzazione in Criminologia.
Ricercatore e membro del CDA dell’Istituto di Ricerca di Scienze Forensi ANTARTIDE.