Safer Internet Day, le analisi e i consigli di Sophos

Password in crescita

Oggi ricorre il Safer Internet Day, la giornata internazionale di sensibilizzazione contro i rischi della Rete: Sophos fa il punto sullo stato della security a livello globale.

I dati raccolti nel recente rapporto Clusit, Associazione Italiana per la Sicurezza Informatica, mostrano un quadro globale preoccupante: 757 gli attacchi gravi registrati nel primo semestre 2019, per una media mensile pari a 126, in lieve crescita (+1,3%) rispetto al primo semestre 2018.
Anche in Italia le “cyber-minacce” sono notevolmente aumentate nel corso dello scorso anno, con oltre 16 milioni di utenti vittime di attacchi informatici, per un danno economico del valore di 3,5 miliardi di euro. Come emerso, parte del problema risiede nella poca consapevolezza da parte degli utenti che navigano in rete in modo distratto e superficiale.

Risulta infatti che il 53% degli attacchi sono dovuti a cause endogene, tra cui l’utilizzo di password deboli e non alfanumeriche, accesso di device aziendali a connessioni pubbliche, navigazione in siti non sicuri e il trasporto di dati sensibili con chiavi USB non cifrate, sommate ad attacchi di phishing e spear phishing.
Le aziende del mondo della tecnologia sono da tempo impegnate in progetti ed iniziative volte a promulgare un utilizzo consapevole di Web e social networks e Sophos è in prima linea in questa battaglia.

È davvero importante fare la propria parte per migliorare Internet. Dopo tutto, se non si è parte della soluzione, si è molto probabilmente parte del problema, garantendo invisibilità ai truffatori facendogli formare una loro infrastruttura criminale. Naturalmente, preoccuparsi per se stessi non è tutto quello che puoi fare per rendere Internet più sicuro.

Il consiglio di Sophos è di istruire e diffondere la cultura della sicurezza tra amici, famigliari e colleghi e soprattutto dedicare tempo e attenzione ai bambini che si avvicinano alle nuove tecnologie.

Ecco quindi i 5 consigli di Sophos per proteggere i propri dispositivi e per navigare sul Web in tutta sicurezza:

Imparare come scegliere password efficaci
La maggior parte di noi, giovani o adulti, finisce con avere decine di account on-line, quindi dobbiamo spesso inventare delle password e impostare credenziali di accesso. Anche se usiamo un programma di password manager, abbiamo ancora bisogno di una sola password davvero eccellente per bloccare la nostra centrale con tutte le password.
Il consiglio è: non siate banali e ingenui. Vanno evitati il nome della squadra preferita, compleanni, soprannomi, animali domestici e così via. Non usare mai parole del dizionario, anche se le scr1v1 con i num3r1 o aggiungi cifre alla fine come 99.
 

Impostare l’identificazione a 2 fattori
Molti siti permettono, e consigliano, di adottare un’autentificazione a due fattori. Sebbene sia noioso aspettare di ricevere un sms per accedere ai propri account, questo ulteriore passaggio rende più difficile agli hacker sottrarre le credenziali degli utenti. In questo caso, la praticità deve cedere il passo alla prudenza.

Mantenere aggiornati i propri sistemi e applicare le patch più recenti.
Mantenere i sistemi pienamente aggiornati, incluso il sistema operativo, i browser Web, i plug-in del browser, i riproduttori multimediali, i lettori PDF e altre applicazioni, può rappresentare un compito continuativo noioso, fastidioso e che richiede molto tempo. Sfortunatamente, gli hacker contano sul fatto che la maggior parte delle persone viene meno alle esigenze di mantenere aggiornati i propri sistemi.

Backup, fortissimamente backup
Il back up non serve solo qualora si cada vittima di un ransomware: in tal caso infatti, avendo un back up non sarà necessario pagare il riscatto per riavere i propri dati poiché una copia potrà essere facilmente recuperata.

Il back up è utile soprattutto in situazioni assai più banali ma ahimè frequenti nella vita di tutti: uno smartphone dimenticato in taxi o caduto in acqua, un laptop distrutto in una caduta accidentale, un caffè di troppo rovesciato sul PC… Inoltre, decidendo di criptare il proprio back up, sarà possibile affidare i dischi rimovibili a un amico fidato, che potrà così conservarli in un luogo diverso dall’abitazione del legittimo proprietario, senza però potervi accedere in caso di un inopportuno attacco di curiosità.

Aggiornare le proprie impostazioni sulla privacy
La maggior parte dei siti, social e app consente di definire chi può accedere ai propri dati personali e alle informazioni fornite per usufruire del servizio. Aggiornare le impostazioni sulla privacy e limitare l’accesso a un pubblico ristretto e fidato è un ottimo consiglio per tenere al sicuro i dati sensibili.

E in azienda?
Questi consigli sono naturalmente validi non solo per gli utenti privati ma anche per le aziende, i cui dipendenti si trovano a gestire quotidianamente un elevato volume di informazioni strategiche per il business: contatti dei clienti, dati bancari, fiscali e finanziari, documentazione riservata relativa a prodotti e strategie e molto altro.
Ai consigli relativi alla scelta di password a prova di hacker, alla messa a punto di un back up efficace e all’importanza di un costante aggiornamento dei sistemi, si aggiungono le raccomandazioni relative a:

Conoscenza degli asset aziendali
Possiamo chiamarlo inventario tecnologico o semplicemente una lista di tutto l’hardware e il software utilizzato in azienda, ma è fondamentale essere consapevoli di quali e quanti elementi interagiscano con il network aziendale, anche quando si tratta di una piccola realtà dove tutti lavorano da remoto. E non vanno dimenticati i device obsoleti o utilizzati raramente perché è proprio approfittando del mancato maggiormente di PC dimenticati che i cybercriminali trovano ghiotte occasioni per attaccare le reti.

Implementare un “contatto di emergenza” per la sicurezza
Anche le aziende più piccole possono farlo: si tratta di identificare un punto di riferimento al quale gli utenti potranno rivolgersi per segnalare eventuali anomalie o episodi sospetti rilevati durante l’attività lavorativa. Non è necessario un numero verde dedicato né un call center: sarà sufficiente un indirizzo email, facile da ricordare come 112Sicurezza@nomeazienda.it. Se i dipendenti aziendali non sanno a chi rivolgersi per condividere segnalazioni di email sospette o allegati anomali, è facile prevedere che non ci sarà alcuna avvisaglia quando l’attacco arriverà.