Qualche mese fa l’attacco informatico WannaCry ha colpito in tutto il mondo, come hanno riportato tutti i principali media. Sono stati infettati centinaia di migliaia di computer di privati, istituzioni e aziende attraverso un virus “ransomware”, che rende inaccessibili i dati sui computer, fino al pagamento di un riscatto agli hacker. Pagamento che però, sottolineano gli esperti, non dà affatto la garanzia di riavere l’accesso ai propri dati.
Ma WannaCry è solo l’episodio più clamoroso. Quasi ogni giorno i media riportano notizie di violazioni di sistemi informativi con sottrazioni di dati sensibili (anagrafiche clienti, estremi di carte di credito, brevetti industriali, ecc.) che comportano costi e danni anche molto ingenti.
Quel che raramente leggiamo sui media invece è che i “cyber-criminali” non attaccano solo banche e grandi multinazionali: gran parte del loro fatturato deriva da attacchi a medie, piccole e micro imprese, molto meno preparate delle grandi imprese ad affrontare richieste di riscatto o di risarcimento danni, e forti cali di reputazione e immagine.
Eppure molti degli attacchi alle PMI sarebbero arginabili, perché sfruttano vulnerabilità molto banali nei loro sistemi informativi, o la scarsa consapevolezza del personale interno sui rischi di certi comportamenti o omissioni. Proprio WannaCry per esempio sfrutta una vulnerabilità di vecchie versioni di Windows che Microsoft ha corretto nel marzo 2017: attacca quindi soltanto computer che non vengono aggiornati da mesi.
Piccole e medie imprese e Cybersecurity: non è un problema solo delle PMI
Il concetto cruciale è che la vulnerabilità informatica delle PMI non è un problema solo delle PMI, anzi. Il loro livello di difesa di fronte ai cyberattacchi è decisivo per la sicurezza di intere filiere produttive. Un numero crescente di attacchi a grandi imprese capo-filiera avviene infatti attraverso vulnerabilità nei sistemi di qualche loro piccolo fornitore, come dimostra il noto caso di Target, la catena di supermercati discount che ha subito il furto di oltre 40 milioni di dati relativi a carte di credito personali a causa di un attacco informatico su un suo fornitore di sistemi di raffreddamento.
E questo è un rischio destinato a crescere ulteriormente per la forte trasformazione digitale in corso del manifatturiero (Industria 4.0) che aumenterà l’integrazione nelle supply chain, e quindi la “superficie potenziale d’attacco”. In effetti, la Cybersecurity è proprio uno degli ambiti in cui sono previsti incentivi agli investimenti dal piano governativo per Industria 4.0 (Piano Calenda).
Per questo il CIS (Research Center of Cyber Intelligence and Information Security) dell’Università La Sapienza di Roma, e il Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica), hanno definito 15 Controlli Essenziali di Cybersecurity, derivati attraverso un processo di semplificazione dal Framework Nazionale di Cybersecurity (FNCS), pubblicato un anno fa nell’Italian Cybersecurity Report 2015.
I 15 Controlli, si legge nel “2016 Italian Cybersecurity Report” del CIS Sapienza e del CINI, sono stati selezionati attraverso una consultazione pubblica con oltre 200 esperti di settore, e sono pensati come punto di partenza di un percorso virtuoso che porti le piccole e micro imprese a implementare misure di sicurezza via via più complesse e articolate aderenti al FNCS.
Il documento li illustra attraverso casi reali, e fornisce una guida pratica per implementarli. Inoltre propone una stima dei costi per alcuni casi-base, da cui emerge che i controlli sono di facile ed economica implementazione.
Il panorama economico italiano è costituito, nella stragrande maggioranza, da imprese medie, piccole e piccolissime che non hanno personale specifico dedicato alla cybersecurity, spiega il report. “In molte di queste realtà i computer vengono usati in modo promiscuo (lavoro e tempo libero), i server risiedono in luoghi non protetti e non si sa quanti e quali computer possano connettersi alla rete, dove siano attestati i dati aziendali, la proprietà intellettuale, le metodologie di produzione, i progetti innovativi, il libro clienti ecc.”. Ecco spiegata quindi la necessità dei 15 Controlli, definiti “misure minime di sicurezza, spiegate in modo semplice e facilmente attuabili da un amministratore di sistema di un azienda piccola o media, senza specifiche conoscenze di sicurezza informatica”.
I 15 controlli: dall’inventario dei sistemi all’aggiornamento all’ultima versione
In dettaglio, i 15 controlli sono i seguenti:
1) Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso entro il perimetro aziendale.
2) I servizi web (social network, cloud, e-mail, spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
3) Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
4) È stato nominato un referente responsabile per il coordinamento delle attività di gestione e protezione delle informazioni e dei sistemi informatici.
5) Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
6) Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.
7) Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
8) Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
9) Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
10) Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, usare solo software autorizzato, ecc.). I vertici aziendali hanno cura di predisporre per tutto il personale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
11) La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
12) Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (definiti al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
13) Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
14) In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
15) Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
Danno finanziario potenziale per una PMI: 35mila euro all’anno
Come accennato, il report contiene una guida dettagliata per realizzare i controlli, con molti esempi, e stime di costo per due casi-base molto rappresentativi. A conclusione c’è una serie di raccomandazioni per le imprese target, e per gli enti governativi e di regolamentazione.
Rimandiamo al report per queste ulteriori informazioni, concludendo con alcuni dettagli sulle stime di costo, calcolate prendendo come riferimento il “danno medio finanziario” degli incidenti informatici per le PMI, calcolato da Kaspersky Lab in un recente report intorno ai 35.000 euro/anno per azienda (costi di recovery, perdita di volume di affari, tempi di inattività, danno d’immagine).
Dall’analisi di CIS Sapienza e CINI, per implementare i 15 Controlli un’azienda “Tipo 1” (micro-impresa manifatturiera, il report riporta tutti i dettagli di definizione di questa realtà tipo, dalle mansioni al personale – 10 persone in tutto – ai dispositivi IT), dovrà sostenere nel primo anno (su cui gravano anche le spese una tantum), un investimento di poco superiore ai 10.000 euro. Invece l’Azienda “Tipo 2” (media impresa di trasporti con 10 dirigenti e 40 dipendenti, maggiori dettagli nel report) dovrà investire nel primo anno poco meno di 25.000 euro, quindi una cifra anche qui inferiore al danno medio potenziale citato prima.
La convenienza dei 15 Controlli si conferma poi anche su un orizzonte di 5 anni, visto che per l’azienda 1 i ricercatori stimano spese totali di circa 42mila euro, e per l’azienda 2 di circa 104mila euro, a fronte di un danno totale potenziale di 175mila euro.