AGI - Prima gli allarmi dello Csirt, poi la Cisa americana, infine le schermaglie online e la guerriglia cibernetica è diventata una realtà. Però mentre le raccomandazioni a innalzare i livelli di sicurezza sono stati indirizzati anzitutto alle Istituzioni e alle grandi e medie aziende, adesso anche i ‘più piccoli’ devono fare attenzione alla loro 'postura' per prevenire attacchi mirati da parte di hacker di stato, attivisti anonimi e, allo stesso tempo, prevenire l’errore umano.
Per Marco Ramilli, amministratore delegato di Yoroi, “innanzitutto vanno ascoltate le raccomandazioni dell’Agenzia per la Cybersicurezza Nazionale, affidarsi agli esperti e poi usare il buon senso”. In un colloquio con Agi, abbiamo chiesto all’imprenditore alcuni consigli da seguire, a margine della presentazione del rapporto Yoroi-Tinexta sulla cybersecurity.
Partiamo dal buon senso, che regole suggerisce?
“Intanto bisogna ricordare agli utenti meno esperti che ogni email, ogni file, ogni interazione via chat può portare un pericolo. Noi di Yoroi abbiamo potuto confermare che spesso arriva sotto forma di attacchi di tipo phishing che sfruttano la familiarità con nomi conosciuti e software di uso comune come i fogli excel o i documenti word di Office”.
Tutto qui?
“Certamente no. Come dicono all’agenzia, verificare la corretta applicazione delle password policy valutando di cambiare le password – cosa sempre utile - e introducendo dove possibile l’autenticazione multifattore. Importante è avere sempre dei sistemi di backup, meglio offline, per eventuali ripristini che si rendano necessari a causa di una perdita di dati, e poi fare una lista di chi può fare cosa dentro la propria organizzazione stabilendo a priori i livelli di privilegio concessi a ciascun utente in modo che l’errore di uno solo non ricada sul resto dell’organizzazione e possa essere mitigato in tempo. Un approccio “zero trust”, come dicono quelli bravi, che preveda l’autorizzazione e l’autenticazione di ogni singolo accesso ai servizi informatici è cosa buona e gisuta. Poi ovviamente bisogna ridurre al minimo i servizi esposti su Internet. Molti attacchi partono dalla scansione delle risorse Internet sguarnite”.
Ma è questo che si intende con l’Igiene Cibernetica?
“Più o meno, ovviamente in questo contesto noi parliamo delle cose minime da fare, gli esperti hanno liste più lunghe da seguire. Ovviamente nel caso delle maggiori aziende o delle grandi organizzazioni bisogna ricordare la necessità di proteggere il fattore umano. Una larga parte degli attacchi comincia con un imbroglio, una truffa, nei confronti di un impiegato, di un contabile, di un consulente, che fa leva su meccanismi psicologici quali l’autorevolezza dell’autore di una comunicazione, l’urgenza di una richiesta da soddisfare prima di subito, una debolezza personale”.
Basta questo a fermare gli attacchi?
“Magari. Ormai gli incidenti sono così frequenti e i cybercriminali così agguerriti che non possiamo mai dirci al sicuro. Perciò bisogna dire che una volta che l’incidente si è verificato ci vogliono sempre dei professionisti a gestirlo. Nella cybersecurity non ci si improvvisa, sia nell’analisi che nella riposta a quello che è successo - si tratti di un malware che ha infettato i sistemi informatici o di una campagna di malspam andata a segno -, ci vogliono degli specialisti in analisi e gestione del rischio per contenere i danni. E vale soprattutto quando parliamo di ransomware: pagare il riscatto è in genere sbagliato, mentre nel caso della doppia estorsione, quando si viene minacciati di mettere in pubblico l’incidente o divulgate i dati rubati, occore una buona gestione della comunicazione per ridurre l’impatto negativo sulla reputazione che ha in genere costi molto alti.
Possiamo dare dei consigli alle persone normali?
“Certo. Creare password lunghe, robuste e complesse che vanno memorizzate con uno sforzo mnemonico è la prima cosa da fare. Se ricordi facilmente una password vuol dire che è debole. Per questo la password può essere il risultato di un “algoritmo personale” ovvero una serie di domande di cui solo tu sai la risposta, e poi le metti insieme, magari con l’aggiunta di numeri e simboli speciali.”
Ma non sono troppe le password da ricordare?
“Infatti, però ci si può affidare a un password manager e abilitare l’autenticazione a due fattori”.
E poi?
“Poi fare sempre una copia dei materiali digitali, almeno di quelli di uso corrente, proteggerli con la crittografia e, infine, aggiornare costantemente le proprie macchine. Molti attacchi riescono perché sistemi operativi e software non sono stati aggiornati in tempo utile prima dell’attacco”.
