Numerosi esempi di attacchi informatici sferrati di recente a note imprese svizzere dimostrano quanto sia grande il rischio a cui sono esposte in particolare le Pmi. Secondo nuove analisi di mercato una Pmi su quattro ha già subito un attacco informatico, in alcuni casi con conseguenze fatali. A essere aumentati sono soprattutto gli attacchi ransomware, che consistono nel criptare i dati di un sistema informatico per poi chiedere un riscatto in cambio del loro rilascio.
Per l’estorsione digitale i cybercriminali sfruttano generalmente il punto di accesso più facile ed efficiente: i dipendenti aziendali. Iniziano con l’inviare un’e-mail di phishing con l’invito, ad esempio, ad aprire un allegato o a cliccare su un link. Se l’utente abbocca, viene installato sul suo computer un software dannoso senza che nessuno se ne accorga. «Le migliori misure di sicurezza informatica sono inutili se vengono aggirate passando per i dipendenti», osserva Carlos Casián, Cyber Risk Specialist di Allianz Suisse e co-autore dello studio: «Se si apre la porta a un ladro, il sistema di allarme o la serratura a chiusure multiple possono fare ben poco». Con le misure anti-Covid il numero delle persone che lavorano da casa è fortemente aumentato facilitando ulteriormente i tentativi di inganno, dato che per i dipendenti in telelavoro è più difficile confrontarsi con i colleghi su eventuali e-mail sospette.
Per individuare il livello di sicurezza informatica delle Pmi svizzere, a settembre 2020 l’Università di Scienze Applicate di Zurigo (ZHAW) e Allianz hanno condotto insieme uno studio nel quale i dipendenti di tre Pmi selezionate del settore del riscaldamento e della manifattura sono stati intervistati utilizzando «metafore profonde». Anticipiamo il risultato principale dello studio: l’atteggiamento dei dipendenti nei confronti degli attacchi informatici influisce direttamente sulla sicurezza informatica delle Pmi.
Un aspetto positivo emerso dall’analisi è costituito dal fatto che i dipendenti conoscono bene i rischi informatici e le loro conseguenze e sanno di essere vulnerabili. Un presupposto importante, questo, per riconoscere di avere un ruolo decisivo nella difesa dagli attacchi informatici. Lo studio ha inoltre evidenziato la disponibilità dei dipendenti a contribuire alla sicurezza informatica. «Gli intervistati hanno dichiarato di ritenere importante risolvere rapidamente il problema per poter riprendere a lavorare il prima possibile dopo un attacco informatico», spiega il dott. Carlo Pugnetti, autore dello studio e docente presso la ZHAW.
Al contempo hanno riferito di ritenersi troppo poco importanti o di considerare la loro azienda troppo piccola per poter essere il bersaglio di un attacco informatico. Inoltre, non essendo molto ferrati in ambito informatico, hanno mostrato la tendenza a delegare la responsabilità per la sicurezza informatica ad altri, ad esempio al fornitore dei servizi IT. «Questo problema sistematico deve essere affrontato», consiglia il dott. Carlo Pugnetti.
Sulla base delle informazioni e dei dati raccolti è stato possibile delineare tre raccomandazioni pratiche per le Pmi. La cosa essenziale da fare è attivare i dipendenti e affrontare attivamente il tema dei rischi informatici. Se il personale è attento e consapevole, l’azienda è meglio preparata a parare i tentativi di attacco. E nel caso gli aggressori dovessero riuscire nel loro intento, dipendenti preparati e piani di ripristino collaudati consentono di contenere il più possibile i danni.
1. Accrescere la consapevolezza
2. Preparare i dipendenti
3. Pianificare le modalità di intervento in caso di emergenza
Questi consigli integrano le misure di sicurezza generali. Per tutelarsi ulteriormente è utile avere un’assicurazione contro i rischi informatici.
a cura di Carlos Casián e Carlo Pugnetti
La procedura seguita dal gruppo di ricerca ha adottato il principio delle «metafore profonde»
I risultati derivano dall’analisi condotta dal gruppo di ricerca sulle correlazioni esistenti tra le informazioni raccolte nelle singole interviste. Non hanno pretesa di essere rappresentativi ma consentono di comprendere meglio la problematica.