SVILUPPARE UNA SOLIDA CULTURA SULLA CYBERSECURITY

06. Rendere sicuri i dispositivi

Incoraggiare tutti a utilizzare una frase d’accesso, composta da almeno tre parole comuni scelte a caso che forniscano un’ottima combinazione facilmente ricordabile e sicura.

Se si sceglie una password tipica: deve essere lunga e avere caratteri minuscoli e maiuscoli, possibilmente anche numeri e caratteri speciali; evitare ovvietà, ad esempio «password», sequenze di lettere come «abc» o di numeri come «123»; evitare di usare informazioni personali reperibili online.

Comunque, che si tratti di frasi d’accesso o di password: non riutilizzarle altrove; non condividerle con i colleghi; attivare l’autenticazione a più fattori; utilizzare un gestore di password dedicato.

6.1. MANTENERE IL SOFTWARE CORRETTO ED AGGIORNATO

Usare preferibilmente una piattaforma centralizzata per gestire gli aggiornamenti.
Si raccomanda vivamente alle PMI di:

  • aggiornare regolarmente tutti i software;
  • procedere agli aggiornamenti automatici ogniqualvolta possibile;
  • individuare software e hardware che richiedono aggiornamenti manuali;
  • tenere conto dei dispositivi mobili e IoT.

Parole chiave:

  • Patch: Aggiornamento del software per eliminare o mitigare vulnerabilità di sicurezza e altri bug generici.
  • Penetration Testing (PT): Attività volte a valutare la robustezza di un sistema informatico o di una rete rispetto a potenziali attacchi cyber. Si avvale di strumenti e tecniche volte a verificare l’effettiva possibilità di sfruttare eventuali vulnerabilità presenti nel sistema per penetrare nello stesso, caratteristica questa che lo contrappone a tecniche che si limitano a rilevare la presenza di vulnerabilità senza tentare di sfruttarle.
  • Vulnerability Assessment (VA): Attività volta a rilevare l’esposizione di vulnerabilità in un sistema informatico.

Contesto

La gestione efficace degli aggiornamenti ai dispositivi informatici (anche denominato “Patch management”) rappresenta una contromisura preventiva, al fine di sanare eventuali vulnerabilità che potrebbero venire sfruttate da parte dei criminali informatici.

Raccomandazioni

  • La PMI deve dotarsi di personale e procedure per recuperare in maniera tempestiva le informazioni sulle vulnerabilità tecniche dei sistemi informativi; tuttavia, una volta che la patch è resa disponibile da una sorgente legittima, devono essere preliminarmente verificati i rischi che ne derivano dall’installazione.
  • Sarebbe opportuno tenere traccia delle patch installate su ciascun dispositivo e della data degli ultimi aggiornamenti effettuati: tale pratica supporta le attività di analisi e recupero a seguito di eventuale attacco. Conseguentemente, un inventario degli asset completo e aggiornato rappresenta un prerequisito per un’efficace gestione delle vulnerabilità` tecniche e dei potenziali attacchi informatici correlati.

Per saperne di più

Per rimanere aggiornato sulle vulnerabilità dei sistemi informatici, controlla gli “alert” pubblicati sul sito web del CSIRT (bolletini, news). In alternativa segui la pagina twitter del CSIRT.
Inoltre, assicurati di ricevere periodicamente o in via eccezionale, bollettini da parte dei vendor di software e strumenti informatici, in merito a vulnerabilità rilevate e patch rilasciate.
Cyber 4.0 aggrega competenze di rilievo nazionale e internazionale e può supportare le organizzazioni nell’analisi tecnico-operativo delle vulnerabilità e favorire un contesto di scambio delle informazioni tra imprese, Forze dell’Ordine e technology vendor, per favorire la crescita collettiva del sistema di protezione delle imprese italiane. Per saperne di più visita la pagina del Centro Competenza Cyber 4.0, sezione “Servizi”.

6.2. ANTI-VIRUS

Si consiglia di attuare una soluzione antivirus gestita a livello centrale su tutti i tipi di dispositivi e aggiornarla per assicurarne l’efficacia continua e di evitare l’installazione non autorizzata di software malevoli.

Parole chiave:

  • Virus: Tipologia di malware capace, una volta attivato, di danneggiare documenti e file eseguibili. Il virus è caratterizzato dalla presenza di istruzioni che ne consentono la replicazione e la conseguente diffusione, che avviene durante il trasferimento del file infetto da un computer a un altro. Si differenzia dal worm, che è in grado di propagarsi autonomamente mediante diffusione dentro reti di computer o tramite email.
  • Antivirus: Software che riconosce la presenza di virus informatici nei file e nelle memorie di massa e cerca di rimuoverli o di neutralizzarli.

Contesto

In caso di minaccia informatica, l’individuazione del codice malevolo permette di intraprendere correttamente e velocemente le opportune contromisure associate alla salvaguardia e all’integrità dei dati e alla disponibilità dei sistemi.

Raccomandazioni

La scelta di un antivirus non può prescindere dalle seguenti valutazioni

  • Capacità di protezione da ricorrenti minacce cyber (esempio ransomware);
  • funzionalità aggiuntive più adatte per il contesto tecnologico ed organizzativo (es. scansione allegati);
  • basso impatto sulle performance del sistema per evitare rallentamenti operativi
  • garanzia di affidabilità, grazie a verifiche effettuate da diversi laboratori indipendenti;
  • Altre funzionalità aggiuntive come: funzionalità di rilevamento proattivo che identificano le minacce e le anomalie, filtro spam.

Cyber 4.0 offre consulenza specializzata per la scelta e l’implementazione di prodotti antivirus. Visita la pagina dedicata del sito web del Centro di Competenza.

Attenzione alla scelta dell’antivirus

Sulla base del decreto “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina” approvato venerdì 18 marzo 2022 dal Consiglio dei ministri, l’Agenzia Nazionale Cybersecurity ha sottolineato la straordinaria necessita` e urgenza di assicurare il rafforzamento dei presidi per la sicurezza, la difesa nazionale, le reti di comunicazione elettronica e degli approvvigionamenti di materie prime. In tale contesto l’Agenzia Nazionale propone ha richiesto urgentemente a tutte le organizzazioni nazionali un’analisi del rischio derivante dall’utilizzo di soluzioni di sicurezza informatica di origine russe con riferimento ai dispositivi che si occupano di endpoint security tra cui antivirus, anti malware ed endpoint detection and response; web application firewall, delle seguenti aziende:

  • «Kaspersky Lab»
  • «Group-IB»;
  • «Positive Technologies».

In caso di utilizzo di tali dispositivi si richiede di procedere ad una diversificazione. Per saperne di più, è disponibile un approfondimento sul sito web dell’ACN .

6.3. UTILIZZARE STRUMENTI DI PROTEZIONE PER I MESSAGGI DI POSTA ELETTRONICA E IL WEB

Adottare soluzioni per bloccare messaggi di posta elettronica indesiderati (spam), quelli contenenti link a siti web dannosi o allegati dannosi (virus) nonché messaggi di posta elettronica di phishing.

Parole chiave:

  • Phishing: Attacco informatico avente, generalmente, l’obiettivo di carpire informazioni sensibili (userid, password, numeri di carte di credito, PIN) con l’invio di false email generiche a un gran numero di indirizzi. Le email sono congegnate per convincere i destinatari ad aprire un allegato o ad accedere a siti web fake. Il phisher utilizza i dati carpiti per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.
  • Spear Phishing: invio di e-mail mirato. Attacco a un individuo o un’organizzazione specifica, con contenuti personalizzati in base alla vittima.
  • Spam/Spamming: Invio indiscriminato e ripetuto di messaggi di comunicazione elettronica verso indirizzi generici e non verificati, perlopiù con finalità commerciali. Le comunicazioni inviate con simili modalità vengono definite spam.

Contesto

Le minacce che possono avvenire tramite l’utilizzo della posta elettronica hanno l’obiettivo di:

  • diffondere virus informatici all’interno della rete aziendale;
  • sottrarre informazioni riservate attraverso social engineering

Cosa è il Phishing

Il phishing è un attacco che rientra tra le tecniche di Social Engineering, ossia l’insieme di tecniche (non solo informatiche) basate sulla manipolazione psicologica per indurre la vittima a commettere errori di sicurezza, fornire informazioni confidenziali o effettuare pagamenti indesiderati ed eseguire azioni desiderati dall’attaccante.
In che modo avvengono gli attacchi informatici tramite posta elettronica?

  • File dannosi allegati che, una volta aperti, autorizzano inconsapevolmente l’esecuzione di software malevoli;
  • Pagine web fittizie a cui si accede mediante link contenuti nel messaggio e-mail; queste sono spesso riconoscibili dalla presenza di errori ortografici;
  • Mittenti mascherati o sconosciuti che propongono operazioni inusuali;
  • Mittenti mascherati o sconosciuti che propongono di eseguire operazioni (es. blocco account, pagamenti, rinnovi contrattuali) con un tono allarmistico e di urgenza.

Come riconoscere un attacco phishing?
Per riconoscere un attacco di phishing è necessario prestare attenzione a:

  • Il mittente (nome e sintassi dell’email);
  • Link collegati all’email: è opportuno essere certi dell’affidabilità della pagina web a cui si viene reindirizzati. Appoggiando il cursore sopra il link, senza cliccare, è possibile controllare la pagina web a cui si viene reindirizzati tramite il link;
  • Oggetto dell’email e testo (errori di grammatica, frasi sconnesse, carattere / lingue diverse);
  • Allegati e rispettivi titoli.

Altre tipologie di phishing

  • Whaling: Attacco che prendedi mira un CEO, un CFO o qualsiasi CXX di un settore o di una specifica azienda. Un’email per il whaling potrebbe affermare che l’azienda sta per incorrere in conseguenze legali e che è necessario cliccare sul collegamento per ottenere maggiori informazioni. Il collegamento porta quindi a una pagina che richiede di inserire tutti i dati critici dell’azienda, come CF e numeri dei c/c bancari.
  • Smishing: Attacco che, per la sua esecuzione, utilizza i messaggi di testo o SMS. Una tecnica comune di smishing consiste nell’inviare a un telefono cellulare tramite SMS un messaggio che contiene un collegamento cliccabile o un numero di telefono da richiamare.
  • Vishing: Gli aggressori sono sempre alla ricerca di informazioni personali o aziendali sensibili. Questo attacco viene però eseguito tramite una chiamata vocale. Da qui la “v” al posto delle lettere “ph” nel nome.

Altri consigli per un uso corretto della posta elettronica

  • Per evitare la ricezione di molteplici messaggi di posta indesiderata, tra la quale si può nascondere una comunicazione fraudolenta, verifica l’effettiva necessità di sottoscrizione a molteplici newsletter e altri servizi di marketing;
  • In caso di sottoscrizione a newsletter, servizi di campagne commerciali e marketing / profilazione, si raccomanda di non utilizzare mai l’indirizzo di posta elettronica aziendale;
  • Verificare l’autenticità del mittente ogni qualvolta viene richiesto di condividere informazioni;
  • Non prestare attenzione al “Nome visualizzato” del mittente, ma prestare attenzione all’indirizzo di posta del mittente;
  • Verifica l’autenticità del mittente anche nel caso in cui le informazioni arrivino dall’interno dell’azienda; ad esempio, qualora vi siano dei sospetti in merito ad un email, è consigliato chiamare telefonicamente il mittente per chiedere conferma in merito alla comunicazione sospetta;
  • Evitare di scaricare gli allegati contenuti nelle e-mail se non si conosce la provenienza, o non è chiaro l’oggetto;
  • Non condividere mai informazioni personali o riservate via e-mail (es. carta di credito, numero del documento di identità);
  • Leggere attentamente il contenuto di ogni mail in cui siano presenti link e/o allegati. Spesso questo tipo di attacchi sfrutta infatti la fretta e la poca attenzione delle persone.

Per saperne di più

  • Visita la pagina informativa del Garante Privacy per formarti ed informarti in merito a questo attacco informatico.
  • Al sito web di Cyber 4.0 puoi trovare informazioni utili in merito ad attività di simulazione di attacchi di natura social engineering, come ad esempio il phishing, volta a comprendere il livello di conoscenza e comprensione della minaccia da parte dell’organizzazione, e alla pianificazione di eventuale attività formativa mirata.
6.4. CRITTOGRAFIA

Proteggere i dati criptandoli. Le PMI dovrebbero garantire che i dati conservati su dispositivi mobili quali laptop, smartphone e tablet siano criptati.
Per i dati trasferiti su reti pubbliche, come le reti WIFI di alberghi e aeroporti, assicurarsi che i dati siano criptati utilizzando una rete privata virtuale (VPN) oppure accedendo a siti web con connessioni sicure mediante il protocollo SSL/TLS.
Assicurarsi che i propri siti web utilizzino una tecnologia di crittografia adeguata per proteggere i dati dei clienti mentre viaggiano su internet.

Contesto

La crittografia consente di preservare la confidenzialità delle informazioni aziendali senza imporre restrizioni sull’utilizzo dei dispositivi.
Esistono molte applicazioni della crittografia, la più semplice e nota delle quali è la cifratura dei dati di un dispositivo mobile/ portatile attraverso una chiave di blocco. È questa da considerarsi una pratica fortemente raccomandata, in quanto i dati protetti da crittografia divengono così fruibili solo quando il dispositivo è sbloccato tramite l’inserimento di una chiave (es. password, riconoscimento biometrico, etc.), conosciuta o posseduta solo dall’utente autorizzato.
Ciò consente un primo livello di difesa dei dati aziendali anche nel caso in cui il dispositivo sia smarrito o rubato.

Raccomandazioni per lavoro da remoto tramite VPN

In caso di lavoro da remoto si raccomanda di utilizzare, se presente, la VPN messa a disposizione dell’azienda. Durante la connessione alla VPN, è possibile svolgere la propria mansione lavorativa utilizzando i servizi informatici aziendali ad esempio: utilizzare la posta elettronica tramite la intranet o attraverso client di posta; accedere alle cartelle di rete (es. File Server, SharePoint); effettuare l’accesso alle applicazioni tramite la intranet aziendale; accedere ai server di amministrazione dell’Azienda.
Tuttavia, durante la connessione alla VPN, è fortemente sconsigliato: navigare su internet su qualsiasi sito non aziendale; utilizzare strumenti di cooperazione non autorizzati dalla Società (es. piattaforma skype qualora non consentita da parte dell’azienda); condividere documenti tramite piattaforme documentali non autorizzate dalla Società (es. google drive qualora non consentito da parte dell’azienda.

Consigli da tenere a mente durante la navigazione web

  • Verificare che l’indirizzo web inizi sempre con https://;
  • Verificare la presenza di un lucchetto nella finestra del browser (che indica la crittografia delle comunicazioni). Questa modalità di protezione si rende fondamentale quando il sito richiede modalità di autenticazione tramite utente e password ed impedisce, attraverso il meccanismo della cifratura della comunicazione, che le credenziali vengano intercettate una volta inserite.

Raccomandazioni per l’utilizzo di reti Wi-Fi

  • Disabilitare la connessione automatica a reti Wi-Fi aperte sia dal proprio PC che dai dispositivi portatili;
  • Utilizzare sempre le reti Wi-Fi aziendali, quando disponibili;
  • Diffidare delle rete wi-fi pubbliche – In caso di necessità, qualora si stia navigando tramite rete Wi-Fi aperta, non accedere ad informazioni confidenziali e/o ad informazioni critiche aziendali;
  • Non lasciare le modalità di accesso alla rete Wi-Fi aziendale con le impostazioni predefinite dal fornitore.
6.5. ATTUARE LA GESTIONE DEI DISPOSITIVI MOBILI

In caso di lavoro a distanza, molte PMI consentono al personale di utilizzare i propri laptop, tablet e/o smartphone.
Ciò dà adito a diverse preoccupazioni sotto il profilo della sicurezza dei dati commerciali sensibili conservati in quei dispositivi.
È possibile gestire questo rischio con l’impiego di una soluzione di gestione di dispositivi mobili (MDM), che consenta alle PMI di:

  • controllare quali dispositivi sono autorizzati ad accedere ai loro sistemi e servizi;
  • assicurarsi che nel dispositivo sia installato un software anti-virus aggiornato;
  • stabilire se il dispositivo debba essere criptato;
  • confermare se nel dispositivo sono installate patch aggiornate per il software;
  • assicurarsi che il dispositivo sia protetto da PIN e/o password;
  • cancellare da remoto i dati delle PMI presenti nel dispositivo qualora il proprietario ne segnali lo smarrimento o il furto, o se il proprietario del dispositivo non ha più un rapporto di lavoro con la PMI.

Contesto

L’utilizzo del dispositivo mobile per svolgere mansioni aziendali può comportare rischi che la società deve tenere a mente ed affrontare attraverso regole scritte, procedure tecniche ed automatizzate, formazione. I rischi connessi all’utilizzo di dispositivi mobili personali sono di diversa natura:

  • Rischi per comportamenti degli utilizzatori (Incuria/imperizia nell’utilizzo dei dispositivi mobili aziendali, Gestione impropria delle credenziali di accesso ai dispositivi/servizi;
  • Rischi correlati agli strumenti (Virus informatici, Hacking e Sniffing, Malfunzionamento, Danneggiamento dispositivi );
  • Rischi per contesto fisico-ambientale (Furto o smarrimento, Indisponibilità delle infrastrutture centralizzate);
  • Rischi di conformità (Acquisizione dati di localizzazione senza opportuna informativa agli utenti, Profilazione utente senza consenso).

Inoltre, si ricordano gli adempimenti più importanti per il datore di lavoro:

  • La normativa privacy, per la protezione dei dati personali dei dipendenti;
  • gli adempimenti della normativa giuslavoristica sui controlli a distanza (art. 4 L.300/70) in caso di attività di raccolta dati e monitoraggio svolta tramite il dispositivo informatico utilizzato dal dipendente.