EMERGENZA ATTACCHI HACKER: COME MITIGARE IL RISCHIO?

Come mitigare il rischio di un attacco hacker

A cura di Avv. Sofia Telese

COSA DEVE FARE L’AZIENDA?

Stiamo assistendo ad una vera e propria impennata di attacchi cyber in Italia che, nel nostro Paese, sono aumentati di ben quattro volte rispetto al resto del mondo.

La corretta applicazione del GDPR avrebbe dovuto apportare maggiore consapevolezza sulla gestione della privacy e sulla sicurezza delle informazioni. Sicuramente la normativa ha dato un contributo in tal senso, ma il contesto attuale rivela una crisi globale di “cyber-insicurezza” dovuta a una rapidissima evoluzione degli attori, delle modalità, della pervasività e dell’efficacia degli attacchi informatici.

ATTACCHI HACKER: LE TIPOLOGIE PIU’ FREQUENTI

Gli attacchi informatici sono appunto in aumento e danneggiano sempre più aziende. Le tipologie e le modalità di questi attacchi sono molteplici e possono colpire le vittime fino a provocare perdite ingenti.

Tra le tecniche di attacco informatico più diffuse si individuano:

  • Malware, applicazioni mirate a danneggiare la vittima tramite l’intercettazione di informazioni, con malfunzionamenti dei dispositivi in cui sono presenti, criptando file al fine di richiedere un riscatto (ransomware);
  • Social engineering, tecniche di attacco informatico basate sulla raccolta di informazioni mediante lo studio e l’interazione con un soggetto;
  • Advanced Persistent Threat (APT), tecniche di attacco informatico molto raffinate, che studiano a lungo il bersaglio e prevedono l’uso di strumenti e malware dedicati;
  • Distributed Denial of Service (DDoS): attacchi informatici mirati a rendere inaccessibili alcuni tipi di servizi, distribuiti attraverso una rete di dispositivi che costituiscono una botnet dalla quale parte l’attacco verso l’obiettivo;
  • Zero-day che implica un attacco informatico in grado di sfruttare vulnerabilità non ancora note o irrisolte.

Spostiamoci sull’aspetto più contingente del fenomeno hacker. Quali sono gli aspetti da salvaguardare maggiormente in materia di cyber security? Che cosa considerare per non essere vittime potenziali di attacchi informatici?

Per quanto riguarda le finalità di attacco informatico, tra le più diffuse si rilevano:

  • truffe (es. phishing, business e-mail compromise);
  • estorsione;
  • intrusione a scopo di spionaggio;
  • interruzione di servizio.

Considerando i target degli attacchi informatici, si osserva che i cyber criminali colpiscono principalmente:

  • account e-mail e Social;
  • portali di eCommerce;
  • siti web aziendali/istituzionali;
  • dispositivi mobile;
  • Smart Objects.

Benché non esistano soluzioni universali e ogni settore debba provvedere ad un mix specifico di soluzioni per la difesa dagli attacchi informatici, lo scenario attuale rivela una chiara necessità di sviluppare strategie e modelli per limitare e contrastare il rischio cyber.

QUALI SONO LE PRINCIPALE CAUSA DI UN ATTACCO HACKER?

Per comprendere appieno i reati informatici occorre considerare anche l’impatto delle nuove tecnologie, dato che queste possono incrementare gli attacchi informatici. Queste tecnologie possono costituire anche un rischio per la sicurezza e per la privacy.

  • Fattori esterni all’azienda. Uno dei trend digitali più significativi al momento è l’Intelligenza Artificiale, uno strumento utile per automatizzare il processo di raccolta e analisi dei dati e per gestire in maniera più efficace la sicurezza. Tuttavia, può costituire anche una minaccia e attrarre attacchi informatici: per esempio, un utilizzo malintenzionato di algoritmi in grado di apprendere dal comportamento online degli utenti. Gli stessi oggetti intelligenti (Amazon Echo, Google Home), essendo connessi alla rete e in grado di comprendere il linguaggio naturale, possono contribuire ad aumentare l’area e le possibilità di attacchi informatici.

Tra le minacce in aumento nelle aziende si individuano anche gli attacchi informatici alla Supply Chain, mirati a danneggiare la catena del valore attraverso la violazione dei sistemi di un fornitore, di un partner o di un cliente di un’azienda al fine di accedere ai dati di quest’ultima. Nonostante il tema della cyber sicurezza in questo settore sia stato finora trascurato, probabilmente per una carenza di risorse e competenze, è chiaro che per mitigare il rischio occorre gestire adeguatamente le identità, gli accessi nominali e il logging delle attività svolte dagli operatori.

  • Fattori interni all’azienda: “colpa” degli errori umani?

Molte aziende mettono in atto azioni mirate a sensibilizzare i propri dipendenti sulla sicurezza informatica. Tuttavia, nonostante in molti casi siano previste policy e linee guida sul tema, spesso vengono ignorate in maniera più o meno consapevole dai dipendenti, pertanto, è possibile dedurre che i rischi di vulnerabilità informatica possono provenire anche dall’interno. Infatti, spesso i cyber criminali non utilizzano tecniche sofisticate, bensì sfruttano le debolezze legate al comportamento umano, come la noncuranza riguardo ai rischi, per accedere alle informazioni delle aziende.

CYBER SECURITY E GDPR POSSONO CONIUGARSI PER MITIGARE IL RISCHIO DI ATTACCHI INFORMATICI?

Cyber security e GDPR possono considerarsi due facce della stessa medaglia, poiché la relazione tra i due risiede nella modalità di tutela della privacy mediante l’implementazione di misure di Data Protection e quindi di attuazione di misure di sicurezza sui dati e attorno ai dati, nel sistema informativo che li elabora, per proteggerli da attacchi che possono alternarne la riservatezza, integrità e disponibilità.

Il regolamento GDPR disciplina con precisione la data protection dedicando alcuni articoli in modo specifico ai principi regolatori dell’elaborazione dei dati personali: liceità, correttezza e trasparenza; riduzione al minimo dei dati; limitazione dell’archiviazione; integrità e riservatezza ed infine responsabilizzazione del Titolare del trattamento.

Tuttavia, è nell’articolo 32 che si parla in modo dedicato alla sicurezza del trattamento elaborativo richiedendo di prevedere le misure:

  • pseudonimizzazione e cifratura dei dati personali;
  • capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  • capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
  • procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Un doveroso chiarimento risiede nei modi di applicazione di queste misure. Infatti, la norma richiede di applicare controlli e misure tecniche e organizzative di sicurezza in “modo adeguato” alla valutazione di rischio e al tipo di dati da proteggere, consentendo al titolare del trattamento di costruire un sistema di protezione adatto alla esigenza della sua organizzazione e non stabilito a priori.

COME TUTELARSI?

Alla luce di quanto esposto, non è sufficiente la sola compliance documentale alla normativa privacy europea.

Per prevenire un’eventuale intrusione nei sistemi informatici aziendali risulta indispensabile anche la verifica della sicurezza dei dati, sia delle persone fisiche che del know how aziendale, attraverso un assesment conforme agli standard internazionali, in primis il CSF del NIST.

Il primo passo è svolgere un Cyber Security Assessment (CSA), ossia un processo di verifica e analisi della resilienza degli asset informatici aziendali e dell’adeguatezza dei controlli di sicurezza nei confronti delle minacce cibernetiche, alle quali tutte le organizzazioni sono inevitabilmente esposte.

Vuoi saperne di più?
Contatta Michele

Consulenti privacy

Dott. Michele Leardini

PRIVACY OFFICER – ACCOUNT MANAGER

RICHIEDI INFORMAZIONI