Ciao a tutti. Oggi, con la collaborazione di F-SECURE, parliamo nuovamente di attacchi informatici, ma lo facciamo partendo da un’ingiustizia: la tua azienda (magari una PMI) è stata attaccata e le tocca pure pagare una multa.

Sì, avete sentito bene: siete stati attaccati, e invece di essere risarciti siete costretti a pagare un’ammenda. Non è un caso di scuola, ma è ciò che può accadere applicando la legge. IN particolare l’ormai noto a tutti GDPR, Regolamento Generale sulla Protezione dei dati emanato dall’Unione europea. In base ad esso, tutte le aziende che gestiscono informazioni sull’identità personale dei cittadini europei devono adottare le misure necessarie per proteggere i dati di cui sono responsabili. E la legge dice “tutte le aziende”, non fa eccezioni: grandi realtà, e piccole e medie imprese. Le PMI.

PMI, come avviene un attacco?

Sappiamo anche, tuttavia, quanto siano scaltri e soprattutto attivi i criminali informatici. Non si fermano mai, sono – come si dice – operativi H24, costantemente alla ricerca di nuove vulnerabilità, di una falla in un sistema operativo in un’applicazione. E quando la falla viene scoperta, gli hacker scrivono un exploit. Cioè, detta semplificando molto per capirci,  scrivono in poco tempo (due settimane, o anche meno) il codice del virus, del worm, dell’elemento che andrà a sfruttare quella vulnerabilità. E poi lo vendono sul dark web.

Nel mentre, i criminali informatici eseguono la scansione di Internet alla ricerca di sistemi protetti contro il nuovo exploit. Se trovano un sistema vulnerabile nella tua organizzazione, continuano a tenere in ostaggio i tuoi dati mandando ransomware, o li rubano per farne un uso personale, o installano un software per estrarre criptovaluta. Insomma, possono sbizzarrirsi.

PMI, l’impatto del GDPR

Che tutto ciò costituisca un danno, lo capisce anche un bimbo di 3 anni. L’azienda ci perde soldi e reputazione. E poi, c’è la beffa: l’applicazione del GDPR, che può comportare multe fino al  2% del fatturato globale annuale per infrazioni minori, o al 4% per quelle gravi. E la legge, in questo caso, è davvero uguale per tutti: multe importanti sono già state inflitte a grandi organizzazioni, per esempio British Airways o Marriott International. Però è un fatto che le più colpite siano le PMI: la maggior parte delle violazioni dei dati è costituita da attacchi proprio contro le aziende più piccole, che a differenza dei grandi soggetti spesso non sono preparate a difendersi da un sofisticato attacco informatico.

Ora, in mezzo a questa fastidiosa combinazione di danno e beffa c’è una buona notizia: anche se la tua azienda – una PMI, magari – è stata bersaglio di una violazione della sicurezza, la multa può essere ridotta o anche evitata. Nel determinare l’ammenda, infatti, il GDPR tiene conto di tre fattori: 

1. La quantità di dati personali compromessa dalla violazione.
2. Quali passi ha intrapreso l’azienda per impedire che si verificasse la violazione, per  esempio l’utilizzo di funzionalità di rilevamento.
3. Quali passi ha intrapreso l’azienda dopo che si è verificata la violazione.
   

Da questo capiamo una cosa: il GDPR non è un mostro cattivo che mette il carico da undici se già hai i tuoi bei problemi con un attacco informatico. E’ invece una misura normativa che, proteggendo i dati personali dei cittadini europei, è anche utile per spingere le aziende a prendere quelle misure necessarie per difendersi dalle violazioni e dalle relative sanzioni.

PMI: i meccanismi di difesa

Bene, questa è la premessa. Ma in pratica, come ci si difende? Torniamo per un secondo a citare il famosissimo spot degli anni 80 che, a proposito di carie, diceva “Prevenire è meglio che curare”. Ecco, non è più così. Prevenire non basta: le tradizionali tattiche di prevenzione contro gli attacchi alle aziende. non sono più sufficienti. Quel che va fatto è attuare una catena di quattro azioni: prevedere, prevenire, rilevare e rispondere alle potenziali minacce. Per le PMI questo significa dover acquisire competenze di base in tutte queste aree e soluzioni a supporto del personale IT. Vediamo nel dettaglio le singole azioni.

Prevedere. Parliamo della capacità di scansionare i sistemi, identificare le minacce interne ed esterne, riferire sui potenziali rischi, determinare la propria capacità di rispettare normative come il GDPR e ottenere visibilità nella shadow IT. Un buon metodo è quello di affidarsi a piattaforme di gestione delle vulnerabilità chiavi in mano. 

Prevenire. Qui parliamo della capacità di difendersi dalle minacce tradizionali come malware, ransomware, spam e truffe online utilizzando una piattaforma di protezione endpoint.

Rilevare e rispondere. In questo caso, le azioni sono concatenate, e includono la capacità di rilevare un attacco che è già riuscito a superare le difese esistenti, di rispondergli efficacemente e di garantire che non possa mai più verificarsi. Il rilevamento e la risposta sono la migliore difesa contro gli attaccanti che usano tattiche innovative o un exploit zero-day che nessuno ha ancora visto. Anche in questo caso esistono soluzioni molto facili da usare, efficaci e automatizzate per bloccare gli attacchi prima che possano danneggiare l’attività aziendale. 

PMI, le soluzioni F-SECURE

Tutte queste soluzioni sono naturalmente fornite da F-SECURE. A questo link, trovate tutte le informazioni su di esse. Inoltre, allo stesso link è possibile scaricare il white paper Come fermare le violazioni dei dati e prevenire le multe del GDPR: un kit di strumenti per le violazioni dei dati per le piccole e medie imprese. Il White Paper, ovviamente, è redatto da F-SECURE.