Con l’arrivo della pandemia, che ha inaugurato la nuova stagione dello smart working, i cyberhacker hanno concentrato la propria attenzione sulle connessioni da remoto, più vulnerabili rispetto alle reti aziendali. Come proteggersi da questi attacchi?
La pandemia da Covid-19 e la conseguente necessità di distanziamento fisico hanno portato molte aziende a trasferire i propri archivi in digitale e a consentire ai dipendenti di lavorare dalle rispettive abitazioni, al fine di ridurre al minimo le presenze indispensabili sui luoghi di ordinario svolgimento delle prestazioni lavorative.
Dopo una prima e comprensibile fase di disorientamento - causata soprattutto dalla non prevedibilità di un evento, come quello verificatosi, di portata planetaria - molte realtà produttive hanno ottimizzato i flussi documentali al punto da valutare positivamente l’esperienza e decidere di trasformarla in condizione abituale di lavoro, con discreta soddisfazione anche da parte dei lavoratori, sollevati dall’onere (certo non trascurabile, soprattutto nelle grandi aree metropolitane) di spostarsi tra l’abitazione e la sede di lavoro. Alcune aziende hanno quindi proceduto alla risoluzione dei contratti di locazione di spazi e uffici che, effettivamente, non avevano più motivo di essere occupati, anche grazie al crescente ricorso al cloud da parte di molti fornitori di software e di servizi.
In Italia, la crescita esponenziale delle richieste di connessione ha fortunatamente colto preparati gli operatori di telecomunicazioni che, già da tempo impegnati negli investimenti per la realizzazione delle reti in fibra ottica, hanno potuto sopportare agevolmente l’incremento di prestazioni richiesto dall’aumento degli utenti collegati. Meno preparata si è rivelata la maggior parte delle aziende, che hanno dovuto far ricorso, spesso, a upgrade rilevanti per adeguare le infrastrutture tecnologiche e le misure di protezione.
Purtroppo, dal momento che ogni evento di tale portata genera delle comprensibili perdite di efficienza ed errori nella configurazione o scelta dei sistemi, molte realtà si sono trovate a essere vittime di incidenti e attacchi informatici dagli esiti infausti.
Dalla rete condivisa al furto assistito
L’attenzione dei criminali informatici, in particolare, si è concentrata sulle connessioni da remoto e sulla scarsa malizia della maggior parte dei dipendenti, abituati, in presenza di un’infrastruttura adeguatamente protetta, a delegare qualsiasi scelta sulla sicurezza di dati e comunicazioni all’amministratore di sistema.
Nelle abitazioni, al contrario, gli apparati di rete sono normalmente quelli di ridotto valore forniti dagli operatori telefonici, dotati di meccanismi di protezione dalle aggressioni esterne inesistenti o poco efficienti, solitamente configurati mantenendo le impostazioni di fabbrica, senza aggiornamento alcuno o con aggiornamenti imposti da malfunzionamenti e conseguente collegamento da remoto dei centri di assistenza.
Non è migliore la situazione dei dispositivi di casa, utilizzati in modo promiscuo da ragazzi e genitori per il lavoro, per il gioco, per lo studio, per la didattica a distanza e collegati tutti alla stessa rete su cui viaggiano anche i dati di smart tv e dei vari oggetti collegati a Internet, assistenti digitali inclusi. Non bisogna dimenticare che alla medesima rete si connettono anche gli occasionali ospiti della famiglia, con una potenziale deflagrazione degli effetti di eventuali virus o attacchi informatici pari (se non superiore) a quella della pandemia.
Per non parlare della vulnerabilità dei sistemi informatici agli ormai sempre più frequenti attacchi basati su tecniche di social engineering, che aggirano le protezioni basandosi su informazioni e credenziali acquisite dalle stesse vittime, inducendo in errore il malcapitato dipendente con messaggi che lo invitano a collegarsi a siti civetta per eseguire aggiornamenti o effettuare controlli che, in realtà, servono a carpire informazioni riservate o le stesse credenziali di autenticazione.
Una recente modalità di aggressione consiste nel clonare, grazie all’utilizzo di operatori telefonici virtuali con sede all’estero, i numeri di servizio di istituti di credito e altri soggetti (ad esempio, i centri assistenza), per inviare agli utenti messaggi di allerta su ipotetiche cancellazioni o movimentazioni non autorizzate. La vittima, vedendo il messaggio accodarsi agli altri già pervenuti da un interlocutore che reputa affidabile, non esita a contattare il numero suggerito o a utilizzare il link proposto e si trova, quindi, a contattare egli stesso i criminali che, con abile accondiscendenza, lo rassicurano e nel contempo lo inducono a eseguire proprio quelle operazioni che non dovrebbe porre in essere. Un esempio è la cessione delle proprie credenziali o dei codici dell’autenticazione a due fattori, con i quali, ovviamente, viene poi realizzata la sottrazione di dati o di somme di denaro.
La difesa è su più fronti
L’assenza dal luogo di lavoro e la mancanza del rapporto quotidiano con il collega e con i responsabili della sicurezza giocano, ovviamente, un ruolo fondamentale nel successo dell’attacco, poiché il dipendente non ha la possibilità di consultarsi con una persona più esperta o, quantomeno, meno coinvolta emotivamente e, incalzato dalla pressione psicologica indotta dal messaggio o dall’interlocutore, finisce quasi sempre per commettere l’errore che consente il buon esito dell’operazione fraudolenta.
A ciò si devono aggiungere l’accennata promiscuità degli strumenti di lavoro e delle reti di comunicazione presenti presso l’abitazione del dipendente, molto lontane dallo standard di protezione di una qualsiasi impresa, per quanto di piccole dimensioni. Antivirus di tipo gratuito (e, per tale ragione, meno efficaci se non addirittura contenenti backdoor e sistemi di tracciamento); programmi scaricati per altre finalità (e, quindi, potenziali strumenti di violazione del sistema); gestione e trasmissione in chiaro dei dati, senza adottare alcun programma di cifratura; ricorso a risorse on-line estranee a quelle aziendali (solitamente protette da VPN e firewall); download di interi database per ragioni di praticità nell’esecuzione delle attività lavorative, magari a causa di una connessione lenta: sono tutti elementi che, presi singolarmente, potrebbero non creare particolari problemi; in una realtà come quella casalinga, però, possono costituire una miscela esplosiva per la sicurezza dei dati e delle informazioni private e aziendali.
Le soluzioni più adeguate possono essere di due tipologie, formativa e tecnologica. Si tratta di opzioni non necessariamente alternative e anzi da adottare congiuntamente, se possibile.
Dal punto di vista della formazione, i dipendenti devono essere resi edotti dei rischi connessi all’utilizzo dei sistemi informatici di casa, della loro maggiore vulnerabilità rispetto a quelli aziendali, delle principali fonti di rischio ed essere messi in grado di comprendere, attivarsi e migliorare la situazione a livello tecnologico. Il primo consiglio dovrebbe essere quello di procedere a una separazione delle reti, di tipo fisico (se il dipendente ha la possibilità di far portare presso la propria abitazione una seconda linea dati) o di tipo logico, attraverso l’opportuna configurazione del dispositivo di collegamento a Internet fornito dall’operatore telefonico o acquistabile presso un qualsiasi fornitore. La separazione delle reti permette di isolare la postazione lavorativa dal resto dell’abitazione e rende quindi decisamente più difficile la propagazione di un virus o di un attacco informatico.
Allo stesso modo, il dipendente dovrebbe essere consapevole della necessità di non utilizzare, per il lavoro, lo stesso dispositivo in uso ai propri familiari o, peggio ancora, agli ospiti, avendo cura di configurare utenti diversi (separando così quantomeno i dati e gli ambienti) e adottando opportune misure di sicurezza come antivirus, credenziali robuste, cifratura del disco e VPN per la connessione verso l’esterno. Anche l’uso della rete cablata dovrebbe essere preferito alla connessione Wi-Fi, che per sua natura è più vulnerabile agli attacchi dall’esterno.
Sessioni dedicate di formazione dovrebbero poi essere incentrate sulle tecniche di phishing e di social engineering, affinché il dipendente possa riconoscere contatti e messaggi sospetti.
Dal punto di vista tecnologico, l’azienda dovrebbe fornire ai dipendenti i dispositivi per svolgere l’attività lavorativa anche per garantirsi anche da un uso o da un collegamento improprio, dal momento che sia il telefono sia il computer possono essere configurati per utilizzare solo le applicazioni aziendali e con tutte le protezioni attive (inclusa la cancellazione da remoto in caso di furto o smarrimento). Sebbene tale soluzione sia più dispendiosa, occorre considerare che l’investimento è integralmente deducibile dal reddito d’impresa e che le sanzioni per l’eventuale perdita di confidenzialità, integrità o riservatezza dei dati sono decisamente elevate, fatta salva un’ulteriore azione risarcitoria da parte dei soggetti eventualmente danneggiati dall’interruzione dei servizi o dalla sottrazione dei dati.
