“Attenzione agli sciacalli” è il titolo dell’articolo pubblicato il 10 Marzo 2020 da CERT-PA (Computer Emergency Response Team della Pubblica Amministrazione) di Agenzia per l’Italia Digitale all’inizio del lockdown di tutto il paese. All’interno dell’articolo si parla di tipologie di virus che invece di attaccare l’essere umano attaccano gli strumenti che utilizza per lavorare nell’era 4.0 e possono essere parimenti letali. Moltissimi, infatti, i casi segnalati alle autorità competententi legati a frodi informatiche ed attacchi ai danni dei cittadini italiani che hanno assunto le forme più disparate senza risparmiare privati, aziende ed ospedali.
Il fattore comune in tutte queste frodi riguardava la tattica utilizzata: veicolare i virus informatici attraverso false notizie legate al Coronavirus in modo da invogliare l’apertura di contenuti e link altrimenti sospetti. Gli attacchi sono cominciati con Trickbot ed Emotet, che somministrando notizie false sul Coronavirus cercavano di eludere i software per il rilevamento dei malware. Ci sono poi stati gli attacchi ai router domestici, il malware WordPress WP-VCD, Ursnif e l’ultimo attacco sembra riguardare una campagna specifica per Android dove viene utilizzato un falso sito INPS.
Ormai sono anni che si parla di accrescere le misure di sicurezza informatica, rivolgendosi tanto a privati cittadini quanto a imprese e pubblica amministrazione, pertanto la soglia di vulnerabilità avrebbe dovuto ormai essere bassa, o per lo meno controllata. Tuttavia, il problema è riemerso durante questa pandemia a causa di una semplice contingenza: il lavoro da remoto forzato per la maggior parte dei dipendenti.
L’uso del computer personale per lavorare e le problematiche sulla gestione della sicurezza informatica
Secondo uno studio realizzato da Capterra Italia a Marzo 2020, il 68% dei dipendenti intervistati aveva dichiarato che stava lavorando da casa. Purtroppo, di questi solamente il 24% stava utilizzando un computer aziendale.
Questo dato è apparso particolarmente allarmante per gli analisti di Capterra, in quanto la sostituzione di un computer aziendale con uno personale (soprattutto se fatto in un momento di crisi e senza preparazione previa) pone una serie di problematiche nella gestione della sicurezza dei dati aziendali non da poco, in quanto non è affatto scontato che i device personali del dipendente abbiano lo stesso grado di protezione di un computer aziendale. A questo fattore di rischio eccezionale e non pianificato se ne possono aggiungere altri comunque presenti e più ordinari che possono riguardare una cattiva gestione delle password (aziendali e personali), un mancato transito dei dati sul server aziendale con VPN e/o l’utilizzo di repository per i documenti non sicuri.
Da qui è nata la volontà del team di Capterra Italia di analizzare più approfonditamente la situazione con un nuovo sondaggio a cui hanno risposto 584 persone provenienti da piccole e medie imprese italiane. È emerso che:
- appena il 21% degli intervistati accede al server aziendale da casa tramite una VPN;
- solamente il 26% degli intervistati ha installato un antivirus sul proprio dispositivo elettronico;
- il 20% degli intervistati utilizza un password manager, contro il 29% che dichiara di non utilizzarlo;
- il 34% degli intervistati dichiara di utilizzare un’unica password per tutti gli strumenti online che utilizza per lavoro.
Nel seguente grafico vengono presentate le risposte che sono state dichiarate dagli intervistati sulle misure intraprese per rendere l’ambiente domestico sicuro per il lavoro a distanza (la domanda era a risposta multipla):
Il quadro generale che viene dipinto da questi numeri non è particolarmente incoraggiante, non è un caso, infatti, che il 37% degli intervistati sia stato vittima di attacchi di phishing nel corso degli ultimi 3 mesi di cui un 15% era legato esplicitamente a campagne a tema Covid-19 avvenute nell’ultimo periodo. Considerando che la maggior parte di loro ha utilizzato un computer personale per svolgere il suo lavoro, è lecito presupporre che molti dati aziendali siano stati esposti a rischi.
Le risposte ricevute riguardo alle modalità di gestione delle password aziendali hanno dimostrato che esistono delle evidenti falle: il 29% degli intervistati da Capterra ha dichiarato infatti di ricordarsi la password a memoria. Contando che una password dovrebbe avere un livello di complessità elevato (cioè contenere dagli 8 ai 16 caratteri, maiuscole e minuscole, almeno un carattere speciale ed essere diversa per ogni sito e/o servizio utilizzato, ndr) non è plausibile ricordarsi le password a memoria.
Nel seguente grafico vengono presentati i risultati delle risposte sulle misure intraprese dall’azienda per cui si lavora per la gestione delle password (la domanda era a risposta multipla):
Infatti, alla domanda posta da Capterra “hai una password principale che usi su più siti?”:
- il 35% ha risposto no;
- il 34% ha risposto si;
- il 29% ha risposto di avere alcune password principali;
- solo il 2% di usare una solo password adattandola ai diversi siti.
Questo dato, insieme al precedente, conferma una cattiva gestione delle password da parte delle aziende, che potrebbe essere tranquillamente risolta con un password manager ed una generazione automatica delle stesse.
Allora, per capire a cosa fosse dovuta questa cattiva gestione, sono state poste altre domande riguardanti la formazione sulla sicurezza informatica, ovvero è stato chiesto agli intervistati se in azienda avessero mai ricevuto una formazione sulle best practice da utilizzare e se avessero un addetto a cui potersi rivolgere in caso di problemi.
Da quanto emerso, sembra che solo il 22% dei dipendenti abbia dichiarato di non aver mai ricevuto alcuna formazione in materia di sicurezza informatica da parte dell’azienda.
Quindi, stando ai dati ottenuto dagli intervistati, il 79% delle aziende fornirebbe una qualche sorta di formazione e/o certificazione riguardante la sicurezza informatica, erogata in diverse modalità. Inoltre, il 77% degli intervistati ha risposto che nella loro azienda ci sono esperti di sicurezza informatica e che sanno che possono rivolgersi a loro all’insorgere di un problema di natura informatica.
Nel seguente grafico vengono presentate le risposte in merito alla formazione erogata dalle aziende sulla sicurezza informatica (la domanda era a risposta multipla):
Nonostante questi dati sulla formazione appiano incoraggianti, visti i dati sulla vulnerabilità a campagne di phishing e mancata adozione di misure minime di protezione dei dati, c’è da interrogarsi sull’efficacia della formazione erogata e sulla comprensione e memorizzazione delle nozioni e delle azioni da intraprendere da parte dei dipendenti.
In conclusione, ciò che emerge sicuramente è che la crisi pandemica a cui il paese è stato sottoposto ha sicuramente fatto emergere alcune lacune strutturali del mondo del lavoro italiano:
- L’Italia e le sue aziende non erano preparate per permettere alla maggior parte della popolazione di lavorare a distanza. Nel nuovo periodo post-crisi, in cui l’Italia si sta accingendo ad entrare, è necessario un cambio di mentalità per quanto riguarda la gestione ed il monitoraggio del lavoro e delle performance. Le persone vogliono continuare a lavorare da casa e bisognerà agevolare una transizione verso una mentalità più smart ed agile.
- La sicurezza informatica è ancora una materia altamente sottovalutata dalla maggior parte delle persone, che non adottano le necessarie misure di sicurezza tanto a livello personale quanto aziendale. Nonostante sembri che la formazione venga erogata e che addetti alla sicurezza siano presenti all’interno delle realtà lavorative, la comprensione delle vulnerabilità non è ancora stata raggiunta.
- È necessario ripensare le modalità di formazione e verifica delle conoscenze delle risorse aziendale, in modo che possano assorbire le informazioni che vengono trasmesse per applicarle praticamente nel lavoro di tutti i giorni.