Ci rubano i dati perché non sappiamo cosa sia la compliance

L’accesso abusivo e fraudolento alle banche dati, di cui tanto si parla in questi giorni, non riguarda solo le grandi organizzazioni pubbliche e private che, nonostante abbiano speso in questi anni enormi risorse per proteggersi, sono sempre più oggetto di furti di dati personali. Nel mondo della piccola impresa, invece, il rischio degli attacchi informatici, tranne rari casi, non viene proprio preso in considerazione. Eppure le violazioni di dati dal 2022 al 2023 sono aumentate del 20%.

In base alla esperienza vissuta nelle piccole imprese in questi ultimi 30 anni ci sono tre effetti ed una causa principale alla base di questo aumento del furto di dati personali nelle small business. Cominciamo con l’analizzare gli effetti e i modi per ridurre l’impatto di ciascuno di questi fattori.

1. Configurazione errata del cloud

I vantaggi che le aziende traggono dall’utilizzo dell’archiviazione cloud, offerto da providers come Amazon, Google, Microsoft e altri, sono molteplici: efficienza di costo, sicurezza, facilità di condivisione dei dati, sincronizzazione, convenienza, recupero dopo un disastro, solo per citarne alcuni. È comprensibile, quindi, che le aziende mettano sempre più dati nel cloud. Si stima che oltre il 60% dei dati aziendali a livello mondiale sia archiviato in questo modo. Questo rende il cloud un obiettivo molto interessante per gli hacker. Nel 2023, infatti, oltre l’80% delle violazioni di dati ha riguardato quelli archiviati nei cloud. E sapete perchè? Perché quasi sempre è stata fatta una configurazione errata.

La causa è da ricercarsi in diversi motivi interconnessi: molte aziende sono passate al cloud solo di recente. E per far fronte alle richieste dei clienti e alla concorrenza, i fornitori cercano di rendere il cloud facile da usare, settando molte impostazioni di default. Di conseguenza, gli utenti potrebbero non rendersi conto di quali siano tutte le impostazioni e se alcuni, o tutti, i loro dati di archiviazione siano apertamente esposti al pubblico Internet.

Non andate di fretta, non utilizzate scorciatoie. Prendetevi il tempo necessario per verificare attentamente che la configurazione del cloud sia impostata correttamente.

2. Nuovi tipi di attacchi ransomware

Si tratta di attacchi in cui gli hacker entrano nel vostro computer e “bloccano” i vostri dati codificandoli crittograficamente e chiedendovi di pagare un riscatto per ottenere la chiave di decodifica necessaria a liberare i vostri dati. Non solo ma per contrastare la possibilità che la vittima si rifiuti di pagare il riscatto perché i dati possono essere recuperati dai file di backup, gli aggressori fanno una copia dei dati prima di criptarli sui computer della vittima. A questo punto, gli aggressori minacciano ulteriormente: pagate il riscatto o inizieremo a divulgare pubblicamente i vostri dati privati, utilizzando essenzialmente sia il ricatto che il rapimento!

Entrambi questi errori sono per lo più causati da una certa ingenuità o inconsapevolezza da parte degli utenti. Spesso si presume che i metodi di protezione utilizzati, come firewall, identificazione a più fattori e simili, tengano lontani gli aggressori e che il furto di dati non sia un problema. Allo stesso modo, può sembrare più semplice elaborare dati non criptati, quindi perché complicare le cose criptandoli.

Per affrontare gli attacchi ransomware tradizionali è ancora importante eseguire con diligenza ed efficacia il backup di tutti i dati e ripristinarli in modo rapido ed efficiente. Purtroppo, questo spesso non viene fatto Per affrontare, invece, il rischio aggiuntivo che i vostri dati privati vengano esposti pubblicamente, dovete effettuare una archiviazione in formato crittografato, in modo che solo voi possiate leggerli.

3. Sfruttamento dei sistemi dei fornitori

Abbiamo detto che la maggior parte delle aziende ha aumentato la protezione informatica delle proprie “porte d’ingresso” attraverso misure quali firewall, password più forti, identificazione a più fattori e così via. Gli aggressori hanno quindi cercato altri modi, a volte più pericolosi, per entrare. Si tratta delle cosiddette “porte laterali”: i sistemi dei fornitori.

La maggior parte delle aziende si affida a fornitori esterni per ricevere assistenza, dalla manutenzione dell’aria condizionata alla fornitura di software, compresi gli aggiornamenti automatici del software. Tuttavia, questi fornitori sono spesso piccole aziende con risorse di sicurezza informatica limitate. Gli aggressori sfruttano le vulnerabilità nei sistemi di questi fornitori. Una volta ottenuto il controllo sui loro sistemi, possono utilizzare la “porta laterale” per entrare nei sistemi dei loro clienti.

È importante che ogni azienda sia più consapevole della possibilità di un attacco alla catena di fornitura. Ovviamente la vostra azienda non può controllare completamente i sistemi e le operazioni di altre aziende, ma ci sono cose che si possono fare.

In primo luogo, comprendere il rischio che comporta l’assunzione di un fornitore, effettuando una propria valutazione dell’efficacia della sua sicurezza informatica e/o avvalersi di servizi, come Bitsight o SecurityScorecard, che forniscono “punteggi di credito della sicurezza informatica” per valutare la sicurezza di un’organizzazione prima di fare affari con essa. In secondo luogo, limitate la portata della porta laterale di ciascun fornitore. Ad esempio, una società di manutenzione dell’aria condizionata dovrebbe avere accesso solo alle aree in cui sono conservate le apparecchiature da manutenere, non a tutti gli uffici dell’edificio.

Ma, come detto sopra, questi sono gli effetti che determinano il furto dei dati. E la causa principale? Assenza di prevenzione. In un mondo imprenditoriale sempre più globalizzato e interconnesso, la compliance tecnica e normativa non è soltanto questione di mera aderenza a norme, regolamenti o standard, ma diventa un pilastro fondamentale per la sostenibilità e il successo a lungo termine delle organizzazioni.

La vera forza della compliance sta infatti nel potere di fermare comportamenti scorretti, ridurre i rischi legali e custodire la buona fama di un’azienda. Solo guardando da questa angolazione il modo di fare impresa, conformarsi non sarà più visto come un fastidio nel quotidiano workflow lavorativo o addirittura come un costo da sostenere.

L'articolo Ci rubano i dati perché non sappiamo cosa sia la compliance proviene da Il Fatto Quotidiano.