La sicurezza non è uno stato ma un processo

Hackeraggio, PMI a rischio

La sicurezza non è uno stato ma un processo

9 ottobre 2019 upsa-agvs.ch – Nella classifica dei paesi europei più esposti all’hackeraggio la Svizzera è al secondo posto dopo la Germania. Ormai non sono solo le grandi aziende come Swisscom e Ruag a essere bersagliate ma anche le PMI. Gunnar Porada, un ex hacker oggi esperto di sicurezza, conosce i dettagli.

hacker-artikel_1.jpg

jas. Molte PMI svizzere e tanti garage si credono al sicuro. Eppure gli hacker non attaccano più solo banche, assicurazioni e grandi aziende. Da tempo sono sotto tiro anche le imprese più piccole. Ogni giorno vengono attaccati circa 8 milioni di computer in tutto il mondo. I danni per l’economia ammontano a centinaia di miliardi di franchi all’anno. Con la proliferazione dei servizi internet aumenta l’importanza della protezione da intrusioni e manipolazioni. Ma se da un lato la digitalizzazione semplifica per molti versi la vita, dall’altro spalanca le porte a nuove offensive. «Dopo la Germania, esposta al 42 percento degli attacchi ransomware tra gennaio e giugno 2019, seguono la Svizzera con il 26 percento e l’Inghilterra con il 18», spiega Gunnar Porada, uno dei massimi esperti mondiali di cyber security intervenuto a ottobre a un evento dell’usam.

Porada, ex hacker, lavora nel settore della sicurezza informatica da oltre 25 anni. Ma quando lo chiamano, spesso è troppo tardi. «Per la mia azienda non c’è caso più felice, dato che in queste circostanze le mie offerte ottengono l’ok di ogni CEO. Eppure è più economico e facile garantire una buona sicurezza informatica sin dal principio», rivela il capo di innoSec GmbH di Weggis. Per dimostrare quanto sia semplice aggirare le barriere apparentemente invulnerabili dell’e-banking, Porada si intrufola «dal vivo» nel conto bancario di uno sconosciuto nel giro di pochi minuti. Per l’esperto di sicurezza è un gioco da ragazzi eseguire transazioni da svariati milioni di franchi in barba alla procedura photoTAN.

Da anni Porada segnala rischi, svela falle nella sicurezza del rilevamento delle impronte digitali per l'emissione dei passaporti e penetra in banche dati e cloud su incarico delle imprese sue clienti. Su commissione di varie banche svizzere ha persino eseguito dei cosiddetti pen test, un termine gergale che designa ampie analisi della vulnerabilità di singoli computer, server o di intere reti. «Non di rado vengo sbolognato quando voglio portare l’attenzione su dei punti deboli», racconta l’ex hacker, «purtroppo la cultura della sicurezza fa spesso il paio con l’inerzia e l’ignoranza.» Per lui, la Svizzera ha ancora molta strada da fare, anche nelle PMI – un termine che Porada ritiene peraltro improprio, giacché alcune piccole e medie imprese fanno affari miliardari pur avendo solo un paio di computer.

hacker-artikel_2_0.jpg

L’esperto di sicurezza ed ex hacker Gunnar Porada discute con Fidel Stöhlker, esperto di comunicazione, e Hans-Ulrich Bigler, consigliere nazionale PLR e direttore dell’Unione svizzera delle arti e mestieri (da sx).

Ci sono invece nazioni che da anni investono somme di questa entità nella sicurezza digitale – ma non la Svizzera e l’Europa. «Sempre più spesso abbiamo la peggio senza che ce ne sia motivo. In fin dei conti abbiamo degli informatici validi.» Per l’esperto, la sicurezza non deve mai essere un ostacolo ai rapporti d’affari. Ma allo stesso tempo si chiede se, ad esempio, sia davvero necessario collegare tutti i computer a internet o mettere tutti i dati nel cloud. «Ai virus e agli hacker basta una sola falla. E seguono sempre la strada più facile», avverte Porada. L’esperto ricorda che oggi i malware sono così piccoli da passare inosservati. Possono essere praticamente inseriti in ogni documento o pagina internet. Nel giro di pochi minuti i codici maligni criptano i dati senza che l’utente se ne accorga, sovrascrivono il Master Boot Record, impedendo così il boot del computer, e alla fine visualizzano un messaggio che indica a chi pagare il «riscatto» (in inglese, ransome) per riavere i dati. Mentre i ransomware si limitano generalmente a criptare dei file i virus vanno oltre mettendo k.o. tutto il sistema. In entrambi i casi il danno è comunque enorme.

«I dati andrebbero usati, per quanto possibile, con parsimonia. Per la contabilità e i dati sensibili si può usare tranquillamente un computer con Linux. I virus per questo sistema operativo sono più rari», spiega Porada. Per lui la sicurezza non è uno stato ma un processo. Per questo non si dovrebbe fare mai a meno degli aggiornamenti.

Le tre principali regole di base per la sicurezza dei dati delle PMI
1. La sicurezza dei dati è competenza dei vertici. Il management non può passare la patata bollente al suo CTO (Chief Technology Officer) quando l’azienda è così grande da giustificare l’esistenza di una tale posizione. Spesso i dirigenti tendono a delegare o a esternalizzare la questione. Molti però dimenticano che sono proprio i piani alti a essere colpiti in pieno dai danni informatici.
2. I dati vanno sempre trattati con parsimonia e non sparsi a piene mani. Il cloud non è necessariamente la soluzione giusta per tutti i casi.
3. La sicurezza non è uno stato ma un processo. La maggior parte degli attacchi viene sferrata tramite vecchi trojan e ransomware che si intrufolano per nuovi pertugi. Proteggersi è possibile. Aggiornare periodicamente i software, non solo quello antivirus, fa già la differenza.

 
 

Rimanete aggiornati e iscrivetevi alla newsletter AGVS!
Iscriviti ora


 

 

Feld für switchen des Galerietyps
Bildergalerie

Aggiungi commento

1 + 8 =
Risolvere questo semplice problema matematico e inserire il risultato. Ad esempio per 1+3, inserire 4.

Commenti