Molte aziende di piccole e medie dimensioni non utilizzano soluzioni di sicurezza in quanto non ritengono di poter essere potenziali bersagli dei cybercriminali. Tuttavia, un recente studio riporta che quasi il 46% degli attacchi informatici sono rivolti alle PMI. Secondo i dati rilasciati dal World Economic Forum, il 95% delle violazioni in materia di sicurezza informatica sono da attribuire all’errore umano. Questi dati evidenziano che le piccole e medie imprese possono essere inconsapevoli del fatto che i loro dipendenti potrebbero – inconsciamente o deliberatamente – causare dei danni alla “salute” dell’azienda. Alcuni comportamenti inappropriati potrebbero portare a perdite finanziarie, danni per la reputazione o calo della produttività di tutta l’azienda. Secondo gli esperti di Kaspersky è bene analizzare come la negligenza dei dipendenti o anche azioni vendicative possano influenzare la cybersecurity delle PMI.
L’ignoranza non è una scusa
Per la ricerca Kaspersky 2022 IT Security Economics sono stati intervistati più di 3.000 manager di sicurezza informatica provenienti da oltre di 26 Paesi, quasi il 22% delle fughe di dati nelle PMI sono causate dai dipendenti. Praticamente la stessa percentuale è dovuta ad attacchi informatici, che ad un certo punto, rendono i dipendenti pericolosi quasi quanto gli hacker. Naturalmente, nella maggior parte dei casi, sottolineano da Kaspersky, ciò accade a causa della negligenza dei dipendenti o della loro mancanza di consapevolezza.
Azioni inconsapevoli da parte dei dipendenti possono portare a serie violazioni e a danneggiare la cybersicurezza delle piccole e medie imprese. In particolare:
1. Password deboli: gli impiegati potrebbero utilizzare password troppo semplici o comunque facili da indovinare, il che fa sì che i criminali informatici possano facilmente danneggiare il sistema e accedere a dati sensibili. Addirittura, esiste una lista delle password più hackerate.
2. Truffe di Phishing: i dipendenti potrebbero accidentalmente o involontariamente cliccare su un link phishing nelle email permettendo così infezioni malware e accessi non autorizzati alla rete. La maggior parte dei truffatori è in grado di imitare un indirizzo di posta elettronica appartenente a una società legittima e quando viene inviata l’email con un allegato si rivela essere un malware. Un esempio recente è l’attacco protratto da Agent Tesla che ha colpito gli utenti di tutto il mondo.
3. Policy BYOD (Bring Your Own Device): come conseguenza dei lockdown dovuti alla pandemia da COVID-19, il BYOD ha acquisito sempre più popolarità. In quel periodo, in tutti i settori che lo consentivano è stato imposto l’obbligo di lavoro da remoto, privilegiando così la “continuità” aziendale a scapito della sicurezza informatica.
Molte aziende permettono ai dipendenti di lavorare con i propri dispositivi personali. Tuttavia, di solito questi dispositivi non sono dotati di protezioni adeguate e ciò può diventare una minaccia per l’azienda. È un dato di fatto che ci siano più di 400,000 nuovi programmi malevoli che compaiono ogni giorno. Le aziende che vengono prese di mira dagli attacchi sono in crescita ma, in ogni caso, la maggior parte di queste non prevede di bloccare (o sostiene che sia impossibile) completamente l’accesso ai dati aziendali attraverso dispositivi personali. Un errore tipico dei responsabili IT è non proteggere i dati aziendali contenuti in un notebook personale, che potrebbe essere smarrito o rubato. Molte aziende ovviano a questo problema permettendo ai propri dipendenti solamente di lavorare in ufficio con PC autorizzati, limitando l’invio di dati e vietando l’utilizzo di chiavette USB. Questo approccio, tuttavia, non può essere applicato in un’azienda che si avvale delle policy BYOD. In primo luogo, i dipendenti utilizzano i propri computer per maggior flessibilità, ma questo non dovrebbe equivalere alla compromissione della sicurezza. La soluzione ideale al problema dello smarrimento del dispositivo è la crittografia totale o parziale dei dati aziendali, sostenuta da una normativa. In questo modo, anche se un laptop o una chiavetta USB vengono rubati, i dati contenuti non saranno accessibili senza la password.
4. Mancanza di Patch: se i dipendenti utilizzano i propri dispositivi personali, i responsabili IT potrebbero non essere in grado di monitorarne o di risolvere i problemi di sicurezza. Inoltre, i dipendenti potrebbero non installare le patch o non eseguire regolarmente l’aggiornamento dei loro sistemi, facendo sì che ci siano delle vulnerabilità di cui i cybercriminali possono approfittare.
5. Ransomware: nel caso di attacchi ransomware, è importante eseguire il back up dei dati, in modo da avere accesso alle informazioni crittografate, anche se i criminali informatici sono riusciti a penetrare nel sistema dell’azienda.
6. Social Engineering: in risposta a tecniche di inganno, come il social engineering o il phishing, i dipendenti potrebbero rivelare inconsapevolmente informazioni sensibili: dettagli di accesso, password o altri dati confidenziali. Chi è stato assunto di recente e ancora non conosce le abitudini aziendali potrebbe essere facilmente ingannato. Ad esempio, un truffatore potrebbe fingersi il “capo” per rubare informazioni importanti sulla società o per estorcere denaro, utilizzando un indirizzo non ufficiale, e chiedendo all’impiegato di svolgere un compito immediatamente. L’attività richiesta potrebbe essere quella di inviare denaro a un cliente o acquistare buoni regalo di un certo valore. Il messaggio rende chiaro che “la velocità è fondamentale” e che “si sarà ricompensati alla fine della giornata”. Insomma, i truffatori evidenziano l’urgenza, così da non dare ai dipendenti il tempo di pensare o chiedere informazioni a qualche collega.
L’alto tasso di incidenti informatici attribuibili ad errate azioni dei dipendenti mostra che tutte le aziende hanno bisogno di investire nella formazione, in modo da insegnare ai dipendenti come evitare gli errori più comuni.
Per mantenere efficiente la cybersicurezza, Kaspersky consiglia di:
· Usare una soluzione di protezione con funzionalità anti-phishing per gli endpoint e i server di posta elettronica, così da ridurre il rischio di infezione attraverso le email di phishing.
· Adottare le principali misure di protezione dei dati. Proteggere dati e dispositivi aziendali, ad esempio attivando la funzione password protection, crittografando i dispositivi di lavoro ed eseguendo il back up dei dati.
· È importante mantenere fisicamente al sicuro i dispositivi lavorativi: non lasciarli incustoditi in pubblico, bloccarli, usare password sicure e software di crittografia.
· Anche le piccole aziende dovrebbero proteggersi dalle minacce informatiche, indipendentemente dal fatto che i dipendenti lavorino con dispositivi aziendali o personali. Kaspersky Small Office Security può essere installato da remoto e gestito in cloud; non richiede molto tempo, risorse o conoscenze specifiche per il deployment and management.
· Trovare soluzioni dedicate per le piccole e medie imprese semplici da gestire e con funzionalità affidabili di protezione, come Kaspersky Endpoint Security Cloud. In alternativa, è possibile affidare la gestione della sicurezza informatica a un service provider che offra soluzioni personalizzate.