Intervistiamo Stefania Prando, Business Development Manager di Kingston Technology, che ci parla di security e di come proteggere i dati, vero bersaglio dei criminali.
– La complessità dei sistemi e delle procedure rappresenta sovente un problema negli ambienti di business medio/piccoli, complice la carenza di personale specializzato e di un dipartimento IT ben strutturato. Come aiutate le PMI a migliorare questa situazione?
In realtà noi non abbiamo percepito una grande carenza di personale qualificato. Nella nostra esperienza In Italia le risorse sono qualificate, ma spesso sono carenti di budget. Certamente, aziende di dimensioni ridotte non hanno la possibilità concreta di dotarsi di reparti IT interni e si affidano quindi a team esterni. Anche a causa di enforcing legale (GDPRè l’esempio più classico), le aziende sono state spinte ad aggiornarsi. Kingston, in questo, propone prodotti user-friendly, che quindi non necessitano particolari competenze né per la configurazione e neppure per l’utilizzo. I nostri drive con funzionalità di sicurezza basate sulla crittografia sono adatti tanto alle esigenze delle PMI quanto di una large enterprise.
– I “dark data” rappresentano un serio problema; spesso le aziende non ne sono consapevoli, ma i dati non gestiti tramite policy costituiscono un vero problema in termini di sicurezza e compliance. Come rimediare? Quali consigli vi sentireste di dare ai responsabili d’impresa?
Dal punto di vista di Kingston, certamente riteniamo che sia prima di tutto indispensabile limitare l’accesso ai dati critici, con policy e sanzioni corrispondenti. Tuttavia, il problema a monte è la formazione e quali siano i comportamenti a rischio dal punto di vista informatico. Predisporre corsi appositi è certamente consigliabile. Le aziende, soprattutto quelle di dimensioni ridotte, sottovalutano non solo la probabilità di essere attaccate, ma anche la gravità dei danni corrispondenti.
– Lo scollamento tra dipendenti e pericoli del mondo reale è davvero forte in alcuni contesti; il livello medio di maturità della sicurezza informatica è molto scarso. Come è opportuno agire per aumentare la consapevolezza degli utenti?
La percezione del rischio esiste, presso gli utenti. Quello che non riescono ancora a metabolizzare è che molto spesso sono le azioni improprie degli esseri umani a causare danni alla sicurezza informatica. Ad esempio, un trend in crescita è quello di abbandonare in luoghi strategici degli stick USB, con all’interno malware che si attivano al primo utilizzo. Una policy aziendale che preveda l’uso esclusivo di stick USB crittografate, certamente aiuterebbe a mitigare questo fenomeno. Inoltre, le nostre chiavette USB (leggi il test della pendrive Kingston IronKey D300S) vengono riconosciute dal sistema, che è in grado di autorizzare solo quelle precedentemente approvate dagli amministratori IT. Il nostro software arriva perfino a consentire l’utilizzo di una singola chiavetta su un singolo laptop o PC, laddove sia necessaria una policy di sicurezza particolarmente restrittiva.
– Secondo le vostre analisi, quali sono le metodologie che i cybercriminali utilizzano maggiormente per raggiungere l’obiettivo?
Dal nostro punto di vista, vediamo una maggior diffusione di stick USB infetti, lasciati ad hoc in luoghi particolarmente frequentati dai dipendenti-obbiettivo. A livello generale, certamente le tecniche di social engineering e di phishing sono sempre più diffuse. Più in generale, è la persona fisica il punto di attacco privilegiato dai cyber criminali.
– Quali sono i settori più a rischio? Perché? Quali gli ambienti già compromessi in maggior misura?
Ottenere la fiducia del personale meno preparato, permette di entrare nella rete aziendale con estrema facilità. Questo po’ avvenire tramite e-mail, social engineering, e perfino con attività fisiche tramite interazione diretta con il soggetto bersaglio. Il fattore umano rimane, e sarà sempre, l’anello debole della catena della sicurezza. Questo implica che non esistono, dal nostro punto di vista, settori meno a rischio di altri. Certamente le PMI sono le realtà meno attrezzate ad affrontare i cyber criminali. Facendo parte delle supply chain di grandi aziende, sono facilmente target di un attacco e possono costituire un punto critico per la sicurezza informatica.
– Stante un grado di pericolosità in costante aumento, sia per i dirigenti, sia per i dipendenti: quali sono i rischi per le imprese, le PA e, come ultimo anello della catena, per tutti i cittadini?
Perdere il controllo dei propri dati personali oggi comporta rischi gravissimi. Ad esempio, è possibile che ne venga fatto uso per scopi illegali, anche di rilevanza notevole. Malware, ransomware, phishing e altre tipologie di attacco sono diffusi ad ogni livello. Nuovamente, riteniamo che sia essenziale il livello della consapevolezza. La conoscenza è la prima base della sicurezza.
– Volendo tracciare uno scenario aggiornato, tra ransomware, cripto-malware, phishing e tutte le minacce in circolazione: quali sono le tendenze attuali? Quanto impattano le vulnerabilità dei sistemi e dei software moderni in termini di sicurezza generale delle imprese e di capacità di fronteggiare simili minacce?
Le minacce informatiche, dal nostro punto di vista, vedono sempre più le persone come bersaglio di riferimento. Si fa sempre più strada il concetto della debolezza umana come punto di ingresso nelle reti informatiche aziendali. Inoltre, il perimetro aziendale molto liquido agevola il compito degli attaccanti. Per un cybercriminale, superare le difese informatiche richiede molti più rischi e competenze; inoltre si troverebbero ad affrontare personale qualificato in grado di arginarne le azioni. Molto meglio (e più redditizio) entrare in possesso delle credenziali di un dipendente poco attento o poco preparato.
