Oggi l'industria del malware sta producendo meccanismi di attacco estremamente mirati e costruiti ad hoc. E le aziende, specialmente le medio-piccole, sono nel mirino. Difendersi è un obbligo, anche di legge, ma occorre agire specialmente sulla protezione dei perimetri aziendali, visto l'alto numero di dispositivi diversi che ormai si usano. Abbiamo intervistato Marco D'Elia, Country Manager di Sophos Italia per capire quali sono le tendenze della sicurezza e come le aziende, dalle PMI alle più grandi, possono affrontare le minacce in modo concreto.

Il 2015 si sta chiudendo: che anno è stato per la sicurezza informatica?

L'attenzione si è concentrata principalmente sulle grandi storie "glamour" di hacking, come Talk Talk e Ashley Maddison, ma le grandi imprese non sono gli unici obiettivi degli attacchi. Un recente report di PwC ha svelato infatti che il 74% delle piccole e medie imprese (PMI) ha avuto dei problemi di sicurezza negli ultimi 12 mesi, e questo numero potrà soltanto salire, dato che le PMI sono percepite come obiettivi facili. Il Ramsomware è una delle aree in cui gli hacker stanno monetizzando i loro attacchi alle PMI in modo più visibile quest'anno. In precedenza, le attività maligne, come lo spam, il furto di dati, l'infezione di siti web per veicolare dei malware, erano molto meno visibili, quindi le piccole aziende nemmeno realizzavano di essere state infettate. Il Ramsomware è molto visibile e ha il potenziale per danneggiare seriamente una piccola o media impresa se questa non paga il riscatto. Questo è il motivo, ovviamente, per cui gli hacker hanno spostato il mirino sulle PMI. E nel 2016 il numero di attacchi aumenterà notevolmente. Prive delle ingenti risorse che le grandi imprese possono destinare alla sicurezza informatica, le PMI spesso tendono a giocare al ribasso negli investimenti in sicurezza per le infrastrutture i servizi e lo staff dedicato. Questa politica le rende estremamente vulnerabili, dal momento in cui gli hacker possono facilmente scovare le falle nei loro sistemi di sicurezza e infiltrarsi nelle loro reti aziendali. In media, una breccia nel sistema di sicurezza può costare a una piccola impresa fino a circa 100.000 euro: una perdita consistente per qualunque azienda. È importante perciò che le PMI adottino un solido approccio alla sicurezza. Questo richiede una strategia IT attentamente pianificata per prevenire gli attacchi prima che avvengano. Installare software che collegano endpoint e reti consentirà di avere un sistema di sicurezza più organico, in cui tutte le componenti comunicano, e assicurare che non ci siano buchi in cui possano penetrare gli hacker.

Sicurezza e PMI: partiamo dai dispositivi?

Nelle aziende esistono ormai tutti i tipi di device e devono convivere con le applicazioni e i dati. Inoltre, i dispositivi mobili hanno superato, in numerica, i dispositivi fissi. Questo per la sicurezza, intesa come perdita di informazioni e di dati, è un problema da affrontare molto importante. Ma ci sono altri elementi di preoccupazione, a partire dal Cloud, perché i dati fruibili in mobilità vengono memorizzati sulla nuvola. 

La sensibilità dei dati è estremamente importante oggi per le aziende?

Certamente, la sensibilità dei dati deve essere, o dovrebbe essere, la preoccupazione massima per le imprese. Oggi l'industria del malware, perché di un'industria si sta parlando, sta producendo meccanismi di attacco estremamente mirati e costruiti ad hoc. Ogni giorno i nostri laboratori individuano 350.000 campioni univoci di malware, pronti per attaccare singole realtà.

Siamo di fronte a un livello superiore di attacchi rispetto al passato?
Il mercato è cambiato. Oggi si parla di una strategia di attacco: un'azienda potrebbe non accorgersi di essere presa di mira, e nel momento in cui ne prende coscienza ormai il danno è fatto. Noi in Sophos parlamo di ciclo di vita delle minacce, o di minacce persistenti. Per difendersi servono tecnologie molto avanzate. Recentemente abbiamo acquisito Surf Right, che possiede un sistema per prevenire gli attacchi prima ancora che si palesino apertamente e vengano codificati.
Il virus, in pratica, è l'ultimo dei problemi?
Oggi non si deve proteggere la macchina solo dai virus - che ci sono ancora - ma da cio' che potrebbe risultare sospetto, attivando dei blocchi che intervengano prima che il virus entri in azione. Guardare le attività sul processore e se c'è un comportamento anomalo si interviene. In Sophos parliamo di Next Generation Endpoint Protection, una filosofia che raccoglie tecnologie differenti per prevenire gli attacchi.

Sicurezza interna: i dati oggi viaggiano sempre di più. Come agite?
C'è tutto il mondo che potremmo definire della network security, ossia la protezione dei perimetri aziendali. Oggi le aziende collaborano tra loro, quindi è fondamentale che i sistemi di protezione siano omogenei tra loro. Per Sophos significa verificare le apparecchiature, firewall e switch, ma anche criptare i dati, in modo che vengano resi leggibili sono alla fine del trasporto e solo tra applicazioni sicure. Questo è un modo di operare che è indipendente dai dispositivi che si utilizzano e quindi permette di risparmiare sulle soluzioni.
Il costo della sicurezza, infatti, è sempre difficile da percepire?
Le aziende hanno imparato che è bene assicurarsi, ma l'hanno fatto spesso dopo che è successo qualche danno, per la sicurezza spesso avviene la stessa cosa. C'è un'aspetto che si è aggiunto ultimamente e riguarda le normative europee. Oggi per le aziende perdere dei dati significa perdere business e reputazione, ma anche dover pagare multe e penali importanti. Sophos sta realizzando dei road show in giro per l'Italia per sensibilizzare le aziende su queste novità facendo parlare non dei tecnici informatici ma dei legali che raccontano quali sono i problemi. Noi garantiamo la protezione integrata dei dati e questa è un'ottima garanzia. Le aziende sono molto sensibili a questi argomenti. Per il costo, invece, credo che le nuove tecnologie permettano di risparmiare in modo consistente rispetto al passato perché buona parte della sicurezza è spostata a livello generale.

Le PMI, ma anche tante aziende di medie dimensioni, non hanno spesso competenze per far fronte alla sicurezza. E' ancora un problema?
Questo è un grosso problema, anche perché non si puo' essere esperti di tutto. La nostra risposta è la semplificazione delle procedure, che non significa assolutamente superficialità. Chi si deve occupare di definire le policy di sicurezza sui dati deve rispondere a una serie di domande che vanno poi a determinare le classi di utilizzo, semplificando moltissimo le operazioni. Troppe aziende hanno migliaia di politiche di accesso ai dati, tante che rendono impossibile riprendere il controllo delle stesse. I nostri sistemi verificano i comportamenti degli utenti in modo automatico. Per esempio, se un firewall trova un comportamento anomalo da parte dei un dispositivo di un utente, lo segnala e si mettono in atto delle operazioni di controllo quasi in automatico. Oggi grazie ai social, alla miriade di messaggi di posta, alla messaggistica istantanea, le minacce possibili sono ovunque e non è pensabile essere attenti a tutto.

Arriviamo al punto focale: le persone. Quanto la sicurezza dipende dai comportamenti degli utenti?
Partiamo dal fatto che solo la consapevolezza di quello che si fa e di quali rischi si corrono, è il primo passo per la sicurezza, non solo nelle aziende ma a anche a casa e nel tempo libero. In secondo luogo è necessario stare sempre attenti a quello che si vuole leggere e aprire e quello che si scrive. I siti e i file allegati sono una minaccia semplice, ma oggi si nasconde anche nella messaggistica di Whatsapp, tanto per fare un esempio. Quello che si scrive, invece, resta sempre da qualche parte, anche se l'utente lo cancella, e si tende a sottovalutare questo aspetto. Non c'è da allarmarsi comunque: Internet è il mondo e nel mondo c'è il bello e il brutto. Ai miei figli dico sempre di stare attenti quando qualcuno suona il campanello, lo stesso comportamento lo suggerisco sugli strumenti elettronici e sui social. Il buon senso è già da solo sinonimo di sicurezza.