Aziende sull’orlo di una crisi di dati

Defence belongs to humans. Il motto di Yoroi è nelle quattro parole che Marco Ramilli, fondatore e Amministratore delegato, spiega ancora meglio in questo confronto con RoadJob Academy.

La loro è un’azienda che sviluppa e gestisce sistemi integrati adattivi e dinamici di difesa cibernetica delle aziende: quasi 150 persone tra sviluppatori, cyber analisti altamente specializzati e un ampio team di ethical hacking tra i più qualificati a livello internazionale. Queste le premesse, a cui conviene affiancare qualche dato per mappare la situazione delle aziende italiane.

La sicurezza dei dati e della propria identità – personale o aziendale – è un concetto difficile da spiegare ai giovani o agli adulti?

Sono due tipologie di difficoltà differenti ma con un denominatore comune. Per i più giovani, escludendo di massima quelli nati dal 1980 al 1985, il grande problema è l’assuefazione al digitale così come per le generazioni precedenti è data per scontata l’energia elettrica. Nel dare per scontato il digitale, sorvolano con leggerezza sul tema della condivisione ed è palese questa loro tendenza al broadcasting costante, dall’acquisto di un oggetto in un negozio al cibo che mangiano fino ai propri valori: questa condivisione da un lato crea assuefazione e dall’altro comporta il dare un pezzettino di sé stessi e della propria identità verso l’esterno, compresi i dati personali, bancari e fiscali che rilasciano costantemente. Insomma, con loro lo sforzo è provare a rallentarli nel condividere così gratuitamente ogni dato personale.
Dall’altra parte, invece, le generazioni precedenti non credono a fondo nell’identità digitale o magari la considerano una seconda identità ai fini della vita reale e normale e quindi ci scherzano sopra e pensano che a loro non capiterebbero mai attacchi informatici. In estrema sintesi: i giovani sono troppo esposti e i meno giovani non si sentono vulnerabili.

2020, un anno memorabile purtroppo. Quali dati avete raccolto sulle frodi informatiche?

Dal nostro Report aggiornato risulta che il 58% dei file malware analizzati nel 2020 erano sconosciuti alle comuni soluzioni antivirus nel momento in cui hanno attraversato il perimetro aziendale. Come dimostrato dalla distribuzione degli attacchi informatici tra i settori, i più colpiti per il 2020 sono stati Machinery, Equipment & Components con una quota del 25,13%, seguiti da Diversified Financial Services con 11,23%, Textiles & Apparel con il 9,63%, Oil and Gas con il 7,49% fino a tutti gli altri. Gli ultimi, quelli teoricamente meno presi di mira, sono Beverages, Water & Other Utilities e Transportation con appena lo 0,53%.

Confrontando la distribuzione 2021 rispetto all’anno precedente, si nota facilmente che i principali settori coinvolti sono gli stessi e che la posta elettronica rimane il principale vettore di attacco utilizzato  dai criminali informatici e questo sottolinea il carattere opportunistico delle minacce. Dal 2019 al 2020 gli attacchi via e-mail sono aumentati dal 89% al 92% e la tendenza è solo in peggioramento: un esempio classico è una mail di fattura con un documento di Office dannoso che richiede un’abilitazione per visualizzare l’intero contenuto del documento: i documenti Microsoft Word (35%) e i fogli di calcolo Excel (33,2%) rappresentano il 68,2% di tutti gli allegati dannosi intercettati dai nostri servizi di protezione e-mail. Inoltre, la pandemia del 2020 sarà ricordata dalla storia anche per i criminali informatici che hanno sfruttato la situazione emotiva collettiva; al tempo stesso, la situazione pandemica ha costretto le aziende ad adottare cambiamenti immediati nel dislocare i propri collaboratori a distanza con conseguenze non da poco sulla sicurezza degli utenti che spesso operavano fuori dal perimetro di sicurezza.

Quali aziende sono culturalmente più predisposte alla sicurezza del dato?

Di certo i più predisposti sono quelli che hanno già fatto il passaggio alla digitalizzazione; generalmente sono aziende bancarie o assicurative o sistemisti IT o quelle che operano nello sviluppo software o web. Hanno cioè maturato da tempo questa capacità di ascolto del rischio e compreso cosa può accadere se ci si espone con leggerezza.

Esistono stereotipi sulla sicurezza informatica e digitale?

Uno dei principali stereotipi è: “Ma io non ho niente da difendere”. Magari è vero che la sua organizzazione non ha brevetti, non ha asset, non ha fatturazioni e magari è vero che il tema lo fa sorridere ma di certo ha una struttura, qualche computer, caselle di posta elettronica, insomma canali a rischio che potrebbero portarlo un giorno a difendersi in tribunale per qualcosa che altri hanno illegalmente commesso passando attraverso la sua identità.
Un secondo grande stereotipo è: “Io sono già pieno di tecnologia e antivirus. Ho comprato tutto e sono a posto”. Confermo che la tecnologia è ad un ottimo livello di difesa ma allora perché continuano ad esistere attacchi informatici? Forse perché da un lato la tecnologia non basta e, dall’altro, perché c’è un essere umano e fintanto che l’essere umano vorrà trarre beneficio da un attacco informatico, farà di tutto per eludere i sistemi informativi automatici di protezione che l’imprenditore ha inserito. Qui nasce il concetto di servizio e di team.
Terzo: “Io ho già il mio team di sicurezza interno e non ho bisogno di una sicurezza esterna”. È la risposta tipica delle grandi organizzazioni perché senz’altro il team interno sarà il migliore a rispondere alle conseguenze ma non è detto che sia il miglior team a prevenire le minacce. Il team esterno è sempre ortogonale a morte organizzazioni quindi ha la possibilità di monitorare tutte le minacce che circolano in rete, riconoscerle ed intervenire in velocità; unito al fatto che gli attaccanti sono esseri umani, e quindi cercano di migliorare la propria economia riducendo le spese: tipicamente gli attaccanti riutilizzano il codice e riutilizzano gli stessi attacchi fintanto che funzionano. Anche gli attacchi
informatici, insomma, ragionano su economia di scala. Magari in futuro i team di sicurezza saranno internalizzati per dare risposte alla
governance e al coordinamento aziendale ma non saranno mai in grado di fornire una identificazione e una risposta tecnica a simili eventi. Gli stereotipi non mancano mai, l’importante è superarli.