Un mio collaboratore in banca, responsabile delle installazioni hardware presso le filiali, diceva più volte ad alta voce: «Le chiacchiere stanno a zero!». Solo i fatti contano, ed una persona responsabile di un servizio vuole fatti, non chiacchiere.
Il Lettore penserà che io sia appena uscito da uno dei tanti convegni sul rischio cyber nei quali si elenca ciò che andrebbe fatto. Non come. No. La citata affermazione mi è venuta in mente sentendomi raccontare i risultati di una recente indagine sul fenomeno del phishing, eseguita da una società di cui non ricordo il nome, non in Italia, bensì negli USA.
Ecco brevemente alcuni numeri (vado a memoria):
- Il 76% si è dichiarato vittima di un attacco di phishing;
- Il 44% ha dichiarato di esser stato vittima di attacchi di vishing o con sms, ed il 4% con USB.
A fronte di ciò, lo stesso campione ha evidenziato quanto segue:
- Il 17% non ha saputo descrivere correttamente in cosa consiste il phishing;
- Il 14% non ha saputo rispondere correttamente alla domanda sul ransomware.
- Infine, quale esempio di buona sicurezza, il 50% ha dichiarato di usare la posta personale sul computer o sul mobile aziendale.
Non mi ricordo gli altri numeri citati, che davano una idea della scarsa cultura aziendale sulla sicurezza digitale, ma credo che questi forniti siano sufficienti per lo scopo che mi sono prefisso.
Il mondo sta parlando di attacchi di phishing da almeno 14 anni (noi ne parlammo nel corso del nostro I congresso nazionale ad Acaya nel 2004). Ci sono stime continuamente aggiornate sull’ammontare delle perdite economiche subite in caso di attacco di questo tipo (cfr. una ricerca Ponemon Institute, stima in circa 4 mil.$ i costi diretti ed indiretti per una azienda di 10.000 addetti). Ed ancora c’è ignoranza? E ciò negli USA! Lascia stupiti!
In Italia, quale è la situazione? Non ho evidenza di ricerche recenti, analoghe a quella sopra menzionata, di adeguata dimensione e consistenza del campione. Possiamo ipotizzare che sarebbe migliore? Non saprei. Anche quest’anno il CLUSIT ha ricordato che il Phishing (via mail, IM e Social) resta il principale vettore di attacco e che il 97% di questi sono da parte di malware, ed alcuni sono piuttosto sofisticati!
Non risulta evidenza che nelle piccole e medie aziende vi siano progetti tesi ad una adeguata e diffusa cultura del rischio. Rischio – lo ricordo anche se oramai sta divenendo coscienza comune – che va inteso come saper cogliere le opportunità conoscendo e soppesando le possibili minacce. Se non c’è una opportuna coscienza delle minacce e di come ridurne la probabilità di accadimento e limitarne l’effetto qualora si realizzino, si possono acquistare ed installare tutti i migliori software del mondo, ma l’eccezione che rovina tutto accadrà. Nel momento e nel modo peggiore per l’azienda (pensiamo al furto delle idee, dei progetti in via di sviluppo, dei dati dei clienti, della documentazione per la prossima gara d’appalto, e così via).
Il personale deve innanzitutto comprendere il particolare momento in cui ci si trova; deve capire cosa non fare, e che cosa invece fare, e “come fare”, provandolo non una ma più volte. Poche chiacchiere: fatti! Si prefigura una spesa elevata? Niente affatto. Possiamo parlarne.
Quante aziende impiegano del tempo a capire il proprio personale ed a creare la giusta coscienza ed esperienza atta ad affrontare le nuove minacce?
Se posso fare un paragone, prenderei spunto dalle piante. E’ giusto acquistare un fertilizzante adatto per le piante che abbiamo in balcone. Applichiamo il giusto rapporto di N-P-K ed innaffiamo in base alla tipologia di pianta e, per far ciò, ci facciamo anche consigliare dal miglior vivaio. Ma se le piante non sono esposte in modo corretto; se non ci curiamo dell’ambiente nel quale ciascuna è stata inserita, che risultati ci possiamo attendere?
Analogamente in azienda quando si compra un package, o un servizio: se non è inserito in un ambiente che possa recepirne i benefici, che spendiamo a fare? In caso di morte della pianta daremo la colpa all’NPK? Diremo: abbiamo fatto il possibile. Abbiamo speso soldi in prodotti di prima qualità! Ma il risultato rimane negativo: addio pianta! E nel caso dell’azienda, che diciamo?
Se consideriamo gli avvisi delle Istituzioni nei riguardi delle nuove minacce, non c’è da stare tranquilli (cfr. Relazione sulla politica dell’informazione per la sicurezza. Feb.2017). Occorre prepararsi a dovere.
E come diceva il mio collaboratore: «Le chiacchiere stanno a zero!». Agire!
Anthony Cecil Wright
