Le piccole aziende locali sono sempre più colpite da attacchi informatici. La sicurezza informatica è essenziale per proteggerne il valore e garantirne la continuità operativa.

Nel panorama della cyber security le microimprese sono tendenzialmente orfane di attenzioni. Eppure, rappresentano le vittime favorite del cyber crime moderno.

La redditività media degli attacchi cyber si è spostata verso le microimprese. È un semplice fatto di evoluzione tecnologica del cyber crime: oggigiorno è conveniente attaccare le microimprese, per svariati motivi.

L’automazione degli attacchi, la relativa facilità con la quale questo tipo di vittime paga i riscatti, l’enorme valore dei loro dati e, non ultimo, il timore diffuso nelle microimprese di dover chiudere l’attività a seguito di un attacco cyber.

Questi fattori vanno affiancati alla migliore capacità di automatizzare gli attacchi altamente targettizzati. Ad esempio, tramite tecniche di intelligenza artificiale, è già possibile automatizzare larga parte degli attacchi informatici.

Proprio per questo abbiamo inteso presentare un approfondimento della tematica, tramite il convegno tenutosi il 27 aprile.

Ma presentare solo il problema non è nostra abitudine.

Ed è per questo che abbiamo parlato anche di soluzioni, con gli esperti di Be-Innova, società entrata a far parte del gruppo Confcommercio Trentino.

A loro sono stati posti quesiti tecnici, focalizzati sulle esigenze della singola impresa.

Ed anche se non ne avete mai avuto bisogno, il suggerimento è di tenere presente anche questa risposta che la tua associazione ti può fornire. Nel caso qualcuno incappasse nel problema, è utile indicargli una valida soluzione.

-------------------

Il convegno

Per affrontare la tematica è intervenuto a moderare l’evento Marco Camisani Calzolari, professore universitario a Londra, personaggio televisivo esperto di cibersecurity, ed impeganto a combattere le truffe informatiche.

E’ intervenuto dapprima David C. Shaw che è stato un membro degli Air Force JAG Corps, gli avvocati militari dell’aeronautica americana e da alcuni anni si occupa di investigazione nel HSI, l’agenzia creata nel 2010 per indagare su una vasta gamma di crimini di portata transnazionale. Homeland Security Investigations è il principale ufficio investigativo del U.S. Department of Homeland Security, il quale si occupa di investigare sul crimine e sulle minacce transnazionali, in particolare quelli legati ai crimini economico-finanziari e alle minacce cyber. HSI agisce direttamente per bloccare transazioni fraudolente, esegue ricerche su titolari di account sospetti e operazioni sotto copertura. HSI è presente in 54 nazioni nel mondo.

Ha poi preso la parola Diego Puel che ha presentato lo stato attuale (locale e globale) della cybersecurity. Diego lavora da più di 6 anni nel mondo ICT, gli ultimi 4 dei quali dedicati alla sicurezza informatica. Con Be Innova supporta le aziende nella protezione del proprio business aziendale creando strategie e percorsi per incrementare la sicurezza delle infrastrutture, dei sistemi e delle persone. A descritto come l’Italia sta diventando un paese sempre più interessante per gli specialisti del crimine informatico, nel 2022 ha subito il 7,6% degli attacchi avvenuti in tutto il mondo. La pandemia ha avviato la corsa alla digitalizzazione, la quale soprattutto per le PMI è avvenuta senza badare troppo alla sicurezza. In un contesto come quello odierno, nel quale con 25 dollari è possibile comprare un elenco completo di credenziali sul Dark Web, dobbiamo aumentare la consapevolezza rispetto all’importanza della cybersecurity per garantire il business aziendale.

Patrick Lazzarotto (DPO - Data Protection Officer), che si occupa di sistemi di gestione per la sicurezza delle informazioni, sistemi di gestione per la qualità e della continuità operativa in azienda ha presentato un caso reale di attacco informatico, con il focus sui risvolti legali. Ha infatti spiegato, attraverso degli esempi, cos’è il Data Breach, quali sono le implicazioni legali che una violazione dei dati può avere per un’azienda e le circostanze in cui è necessario comunicare al Garante Privacy la violazione subita.

Manuel Broccardo, esperto in Risk Management, intermediario assicurativo in Sara Assicurazioni e socio di Anra, l’Associazione Nazionale Risk Management. Ha illustrato come solo il 27% delle aziende italiane ha una Copertura Cyber Risk. Quali danni può fare un dato non protetto? Perché è sensato assicurarsi contro questo tipo di rischio? Ha spiegato come proteggersi dai danni diretti, per coprire la responsabilità civile derivante da una violazione dei dati e per avere supporto nella gestione della crisi.

Pierluigi Sartori, 9 anni nell’Aeronautica Militare (Intelligence and Operations), con più di 20 anni nel campo dell’Information Security Management. Ha illustrato come nella gestione aziendale siamo passati dai fogli ai byte, con un elemento che è rimasto costante: il fattore umano. Oggi la sicurezza informatica passa principalmente dalle persone ed è su di loro che dobbiamo porre la massima attenzione per la protezione delle aziende. Come citato anche nel fatto accaduto ad un nostro Associato, gli aspetti tecnici hanno comunque a che fare con l’ingegneria sociale.

Nella tavola rotonda che è seguita sono intervenuti:

• Sandro Raimondi, Procuratore della Repubblica di Trento, che ha spiegato qual è il peso della criminalità informatica nei casi e nelle indagini condotte dalla Procura al giorno d’oggi. Ha inoltre esposto come interviene la Procura in collaborazione con associazioni di categoria, come Confcommercio, nella gestione dei reati relativi al crimine informatico e quali collaborazioni possono nascere su questo tema.
• On. Marco Osnato, Presidente Commissione Finanze della Camera dei Deputati, che ha affrontato come il tema della sicurezza informatica è in costante espansione, e qual è la visione del Governo nazionale in merito. Inoltre ha illustrato in quale misura è stata percepita l’attività cyber a seguito degli eventi internazionali che hanno interessato il panorama geopolitico negli ultimi due anni.
• Mauro Bonvicin, Vice Presidente Confcommercio Trentino, che ha illustrato quali azioni sta compiendo Confcommercio Trentino per dare protezione ai propri Associati e qual è il livello di collaborazione interistituzionale in merito.
• David C. Shaw, Homeland Security Investigations (Attaché) U.S. Embassy Rome, che in inglese ha chiarito quale ruolo gioca HSI per il supporto all’investigazione dei crimini informatici.
• Alberto Di Cuffa, Dirigente del Centro Operativo per la Sicurezza Cibernetica Polizia Postale e delle Comunicazioni “Trentino – Alto Adige”, ha spiegato il ruolo del Centro Operativo per la Sicurezza Cibernetica. Ha inoltre suggerito come le associazioni di categoria e le aziende possono sensibilizzare i dipendenti e i clienti su un tema così complesso come la cybersecurity.
• Luca Tognana, Vice Presidente Be Innova s.r.l., che ha fornito informazioni su come le micro e piccole imprese che fanno e sviluppano sicurezza informatica possono rappresentare un attore di riferimento per il territorio, in particolare nei confronti delle altre realtà economiche. Ha illustrato anche come può una impresa Associata supportare il sistema nazionale e collaborare con le altre aziende e le istituzioni per aumentare il livello di sicurezza del paese.

Il Cyber Corner di Be-Innova

Al termine dei lavori del Convegno, il team di Ethical Hacker di Be Innova ha presentato ai partecipanti degli esempi di attività malevole che vengono spesso realizzate da cyber gang.

È stato molto interessante, poiché ha reso concretamente tangibile una minaccia spesso sottovalutata, perché si pensa non possa riguardarci.

A chi vuoi che interessi quello che facciamo nel nostro piccolo?

Nello specifico, è stato mostrato come tramite un semplice QR CODE (ad esempio quello che troviamo nei ristoranti per leggere il menù) sia possibile catturare immagini da una fotocamera o uno smartphone; poi gli esperti hanno fatto vedere con quale velocità è possibile duplicare un badge o una carta di credito (è stato bello vedere le facce degli esterrefatti associati presenti); successivamente, hanno mostrato come sfruttando una rete wi-fi, non protetta o poco, sia facilmente possibile renderla malevola ed eseguire un attacco di phishing.

Personalmente, chi scrive è rimasto impressionato dal fatto che tramite l’inserimento nel pc di una apparentemente innocua chiavetta sia possibile eseguire da parte di terzi dei comandi malevoli sul proprio computer, perdendone completamente il controllo.

Ciò che più di tutto ha trovato accordo tra i partecipanti è stato il fatto di quanto sia semplice “essere adescati” e, di conseguenza, quanto sia importante diventare consapevoli di tali dinamiche e investire sulla sicurezza dei propri dati per rendere le aziende cyber resilienti.

Conclusosi il Convegno, i partecipanti hanno potuto assistere alle simulazioni di attività malevole, organizzate da un team di Ethical Hacker, che potrebbero essere realizzate da cyber criminali.

Nello specifico, hanno mostrato come sia semplice effettuare le seguenti azioni:

• catturare le immagini da fotocamere e smartphone tramite QR CODE;
• duplicare badge e carte di credito;
• eseguire un attacco di phishing attraverso una rete wi-fi malevola;
• eseguire comandi malevoli su un pc inserendo una chiavetta.

Assistere a queste dimostrazioni ha suscitato grande interesse da parte dei partecipanti al convegno e li ha resi consapevoli del fatto che è sempre più importante sia mantenere elevata l’attenzione verso la protezione dei dati aziendali, che investire in strategie innovative di cyber security.

Cosa è successo ad un’azienda trentina Associata

Racconta un Associato: la mia segretaria riceve una mia email, che le indica i dati per un bonifico di 9.600 euro con le relative coordinate IBAN. È un fatto che accade abitualmente, e lei inserisce l’operazione nell’applicativo web della banca.

Il cassiere della piccola banca locale, che mi conosce, mi chiama e mi chiede l’ok per questa operazione ad un nuovo fornitore estero. Questa chiamata non era dovuta, è stato un’attenzione, uno scrupolo del cassiere.

Io dapprima non capisco, ma nego l’autorizzazione all’operazione. (Fiuu!)

Non abbiamo capito come, ma degli hacker malevoli si sono inseriti nel mio sistema di posta elettronica, hanno copiato una mia email di disposizione di pagamento e l’hanno modificata a proprio vantaggio per poi inviarla alla mia segretaria. Sarebbe stato un grosso problema per la mia azienda se l’operazione fosse stata eseguita.

Ci siamo rivolti a degli esperti di sicurezza informatica che hanno innalzato le protezioni dei sistemi informatici aziendali, hanno inserito delle procedure di sicurezza che ci tutelano ed infine, ci hanno aiutato a predisporre la denuncia alle autorità dell’accaduto.

Suggerisco a tutti di prestare attenzione a questo nuovo fronte, potenzialmente molto dannoso per le nostre piccole imprese.