Sempre più persone lavorano con Internet e sempre più professioni vengono digitalizzate totalmente o in parte. Da sicurezza sul posto di lavoro, ora si parla più di cybersecurity, ovvero sicurezza informatica, per tutte quelle professioni che lavorano a stretto contatto con il mondo del web. Anche perché la sicurezza digitale diventa un settore sempre più importante per le aziende.
Ogni minuto vengono rilevate 119.000 minacce informatiche in tutto il mondo e l’Italia è il primo paese più colpito da macro-malware in tutta Europa. Oltre ai singoli utenti privati, molto spesso il target principale dei criminali informatici sono proprie le aziende e le grandi società. Lo scopo di questi attacchi è sottrarre dati, rubare segreti aziendali o compromettere i server della società per poi chiedere un riscatto da pagare. E per compiere tutti questi attacchi, i malintenzionati vanno a colpire i singoli dipendenti.
La navigazione su Internet deve essere sempre protetta
Tutti i lavoratori, che siano in sede o che siano da remoto, usano ormai un PC per lavorare e gestire le comunicazioni quotidiane legate al lavoro. In casi del genere, disporre di una connessione sicura diventa fondamentale: avere un antivirus è d’obbligo, così come un browser sempre aggiornato e una connessione Wi-Fi protetta. Inoltre, può tornare molto utile una rete VPN.
Quanto costa una rete VPN e di che cosa si tratta, esattamente? Una VPN, chiamata anche rete privata virtuale, è un servizio attivabile sul proprio computer o smartphone che grazie alla crittografia a 256 bit, riesce a proteggere la nostra connessione quando navighiamo sul web. Non solo, perché una VPN garantisce anche anonimato in rete, grazie alla possibilità di cambiare indirizzo IP e posizione geografica.
E i costi sono molto contenuti, anche grazie a varie offerte per provare una VPN e testare la qualità della protezione. Oltre a ciò, ovviamente il dipendente deve sempre seguire dei comportamenti corretti per navigare in sicurezza. Fortunatamente, al giorno d’oggi la maggior parte dei browser è in grado di avvertirci quando navighiamo su pagine poco sicure e ci viene data l’opportunità di tornare indietro, piuttosto che visitare il sito pericoloso in questione.
Si deve però fare attenzione alla sicurezza della connessione verso il sito: controllate che sia sempre presente il lucchetto verde nella barra degli indirizzi, simbolo della presenza di una connessione HTTPS (protocollo standard di sicurezza per il web). E non condividete dati personali su siti internet che non conoscete o su cui siete arrivati tramite banner pubblicitari.
Il phishing viaggia via email: occhio alle email che aprite
Da tempo il Garante della Privacy italiano ha specificato le linee guida per la posta elettronica, ma ogni anno crescono i rischi associati all’utilizzo dell’email per motivi di lavoro. La cosa peggiore poi, stando alle ricerche in ambito lavorativo, è che circa il 97% dei dipendenti non è in grado di riconoscere un’email di phishing preparate usando tecniche avanzate di ingegneria sociale.
E dietro il phishing si nasconde uno dei pericoli principali per un’azienda, visto che durante il 2020 circa il 22% dei data breach (furti di dati sensibili) è avvenuto proprio a partire da un tentativo di phishing. Per un’azienda diventa quindi cruciale formare il proprio personale per prevenire i tentativi di phishing. Fortunatamente, buona parte delle email di phishing è facilmente riconoscibile perché sono ricorrenti le seguenti caratteristiche:
- Senso di urgenza: il testo di un’email di phishing ha lo scopo di creare un’urgenza nel lettore, ovvero l’utente che legge deve poi essere spronato ad agire subito per compiere una determinata azione.
- Link o file da scaricare: il senso di urgenza spiegato sopra serve per costringere l’utente a cliccare su un link presente nell’email oppure a scaricare un file allegato all’email. In entrambi i casi, si rischia di installare del malware sul proprio computer.
- Mittente sconosciuto oppure troppo conosciuto: i malintenzionati spesso inviano email da indirizzi sconosciuti e non presenti nella rubrica; oppure fanno l’esatto opposto, impersonando grosse aziende (banche, le Poste, l’INPS, e-commerce come Amazon o provider telefonici)
- Si tratta di email non richieste: quando ricevete un’email sospetta, chiedetevi se siete stati voi a richiederne l’invio. Se non avete chiesto l’invio dell’email e non conoscete il mittente, allora ci sono alte probabilità che si tratti di phishing.
Dispositivi USB: attenzione a cosa inserite nel PC aziendale
Oltre alle email e agli SMS, i dipendenti devono anche fare attenzione ai dispositivi USB: per un gruppo di malintenzionati basta infettare anche una chiavetta USB per introdurre del malware all’interno di una rete aziendale. Scontato dire che i dipendenti non devono collegare ai computer aziendali dei dispositivi USB personali, che rischiano di essere compromessi.
Ogni azienda dovrebbe consegnare ai dipendenti dei dispositivi USB aziendali, che dovranno essere usati solo per motivi lavorativi (così che i dipendenti non debbano ricorrere all’uso di dispositivi personali per gestire file di lavoro). In casi di malware introdotti tramite dispositivi USB, quasi sempre questa tipologia di attacchi nasconde un tentativo di ransomware.
Durante l’anno appena passato, circa il 41% delle aziende italiane ha subito un attacco di phishing. Un attacco ransomware punta a installare del software malevolo all’interno dei computer e server aziendali, bloccando i dati presenti tramite crittografia. Per poter accedere ai dati bloccati, viene richiesto di pagare un riscatto usando delle criptovalute (per via dell’anonimità delle transazioni).
E inoltre, i ransomware utilizzano un countdown per creare un senso di urgenza: se non si paga entro una scadenza (di solito una settimana), si perderanno tutti i dati bloccati. Si tratta quindi di un grosso pericolo per ogni azienda: la cura migliore è la prevenzione, ovvero avere backup dei dati aziendali su altri server e anche su servizi cloud.
Infatti, anche pagare il (costoso) riscatto può non portare ai risultati desiderati: non sempre i malintenzionati poi mantengono la promessa di sbloccare i dati. Inoltre, a volte capita che comunque una parte dei dati rimane compromessa per via del malware, diventando quindi irrecuperabile.