La sicurezza informatica delle piccole e medie imprese (PMI) è un tema sempre più in primo piano nel contesto odierno in cui la digitalizzazione ha investito ogni funzione aziendale.
Le piccole e medie imprese rappresentano il 90% di tutte le aziende e contribuiscono con il 60-70% di tutti i posti di lavoro nel mondo, generando il 50% del prodotto interno lordo globale Queste cifre evidenziano l’importanza cruciale delle PMI per l’economia mondiale.
Anche l’Italia è un paese di micro, piccole e medie imprese.
Secondo i dati dell’ Osservatorio Innovazione Digitale nelle PMI del Politecnico di Milano, su 4,4 milioni di imprese attive in Italia, il 95,13% sono microimprese con meno di 10 addetti e il 4,78% sono piccole e medie imprese con meno di 250 addetti, che da sole costituiscono il 41% dell’intero fatturato generato in Italia.
Queste aziende sono il motore della nostra economia, ma sono anche un bersaglio molto attraente per i cybercriminali.
La credenza che siano solo le grandi aziende ad essere attraenti per i cybercriminali è ormai quotidianamente smentita dalle statistiche e, finalmente, anche le piccole e medie realtà aziendali stanno iniziando a comprendere la necessità di investire in sicurezza informatica per tutelare la propria sopravvivenza.
La realtà è che la criminalità informatica può ottenere profitti attaccando chiunque, specialmente coloro che sono più facili da colpire, e le PMI spesso hanno budget contenuti e minori competenze, questo fa sì che non siano protette ai livelli delle grandi aziende. Questo le rende più vulnerabili agli attacchi esterni.
Secondo il Rapporto CLUSIT sulla sicurezza Informatica in Italia, in Italia nel 2022 i cybercriminali hanno colpito soprattutto le PMI: l’80% degli attacchi ha riguardato aziende con un fatturato inferiore a 250 milioni di euro e il 51% delle aziende colpite ha meno di 100 dipendenti.
Le vittime più colpite appartengono al settore manifatturiero, che ha superato il finanziario-assicurativo, bombardato in questi ultimi anni.
Gli attacchi nel settore manifatturiero si caratterizzano per il tentativo di bloccare la produzione dell’azienda e addirittura dell’eventuale catena del valore di cui essa fa parte, con l’obiettivo di estorcere un riscatto.
Andando indietro di un solo anno, nel 2021 è stato messo a segno uno dei più catastrofici attacchi ransomware della storia, l’attacco alla supply chain di Kaseya VSA, che, sfruttando una vulnerabilità di Kaseya, ha coinvolto oltre 1500 aziende nel mondo che utilizzavano il servizio, molte delle quali PMI.
Questo è stato un ottimo esempio di quanto possono essere potenti gli attacchi alla supply chain IT, che consentono ai cybercriminali di colpire molte aziende attraverso un singolo attacco. E molto spesso rimangono coinvolte piccole e medie aziende che non sono dotate di adeguate misure di sicurezza per proteggere le connessioni con l’esterno.
I dati e le notizie che si susseguono confermano purtroppo costantemente che le PMI sono un bersaglio appetibile per i cybercriminali e sottolinea l’importanza di una solida strategia di sicurezza informatica per le piccole e medie imprese.
Fortunatamente, questa crescente frequenza degli attacchi diretti ai danni di piccole e medie imprese oltre agli attacchi supply chain che le coinvolgono, stanno suscitando in imprenditori e manager la necessità di dedicare risorse alla cybersecurity.
Anche loro devono proteggere le loro risorse digitali per garantire la sicurezza dei dati, la continuità delle attività operative e la fiducia dei loro clienti. A questo si aggiunge, rafforzare le propria immagine e il potere contrattuale nei confronti di partner commerciali, fornitori e clienti che possono beneficiare di livelli di sicurezza documentati.
Per offrire un quadro delle principali criticità da affrontare, Karspersky ha pubblicato un report riguardo le minacce informatiche che hanno attaccato le piccole e medie imprese nel 2022 e 2023. Le statistiche utilizzate nel rapporto sono state raccolte nei primi mesi 2023 tramite la Kaspersky Security Network (KSN), il sistema interno per l’elaborazione di dati relativi alle minacce informatiche, condivisi volontariamente dagli utenti in tutto il mondo.
Gli esperti di Kaspersky hanno quindi elencato i software più popolari utilizzati negli uffici delle piccole o medie imprese in tutto il mondo (MS Office, MS Teams, Skype e altri utilizzati abitualmente dalle PMI) e analizzato quanti malware e software indesiderati che sono stati distribuiti sotto le sembianze di questi stessi software.
Le principali minacce informatiche per le PMI nel 2023
Iniziamo dai numeri: tra il 1 gennaio e il 18 maggio 2023, 2.392 dipendenti di PMI hanno incontrato malware o software indesiderati mascherati da applicazioni aziendali.
Vediamo adesso, in base all’analisi dei file infetti, quali sono le principali minacce che mettono a rischio la sicurezza informatica delle piccole e medie imprese secondo gli esperti Karspersky.
Exploit
Gli exploit sono programmi malevoli progettati per sfruttare le vulnerabilità nel software e sono stati la più grande minaccia per le PMI nei primi cinque mesi del 2023, con 483.980 rilevamenti.
Sono creati per “aprire la porta” agli attaccanti, spianando la strada all’esecuzioni di azioni arbitrarie sul dispositivo colpito, come eseguire altri malware, elevare i privilegi degli utenti, causare il crash di applicazioni specifiche.
Trojan
La seconda minaccia più rilevata sono i Trojan, software che si nascondo all’interno di altri software in modo che quando l’utente attiva il software conosciuto, inconsapevolmente attiva anche il trojan, dandogli modo di attivare l’attività malevola. Grazie a questo modo subdolo di infiltrarsi nei sistemi, può essere molto difficile rilevarli, specialmente per utenti non preparati.
I Trojan possono eseguire azioni molteplici, in base allo scopo dell’attacco, come eliminare, bloccare, modificare o copiare dati, interrompere le prestazioni di un computer o di una rete informatica.
Backdoor
Al terzo posto troviamo le backdoor, malware in grado di aggirare i sistemi di autenticazione per consentire ai cybercriminali di prendere il controllo remoto del dispositivo vittima.
Le backdoor possono essere utilizzate per estrapolare log, accedere a dati presenti nel dispositivo e addirittura installare, avviare ed eseguire programmi senza che l’utente se ne accorga.
Not-a-virus
La quarta categoria più rilevata sono quelle applicazioni che Karspersky definisce “not-a-virus”, ovvero applicazioni potenzialmente indesiderate (PUA) che possono essere installate involontariamente su un dispositivo.
Non sono di per sè dannose, ma possono essere utilizzate per rallentare i sistemi, installare ulteriori software e malware, rubare dati aziendali.
Anche in questo caso, spesso le PMI ne escono danneggiate in quanto gli addetti non sono adeguatamente informati per identificare questo genere di software.
Alcuni esempi pratici di attacchi informatici con l’ingegneria sociale
Il phishing rappresenta un’importante minaccia per le PMI, poiché i cybercriminali emulano email e pagine di login dei più famosi istituti bancari e finanziari, servizi di pagamento, fornitori di servizi cloud, ecc.. ed utilizzano comuni tecniche di ingegneria sociale per ingannare gli utenti ed ottenere informazioni riservate o addirittura indurli a pagamamenti per rubare fondi aziendali.
Un primo esempio di questo tipo di attacco è quello in cui i truffatori cercano di rubare l’account dei clienti di una compagnia di assicurazioni. In questo caso, i truffatori hanno creato una pagina di phishing che imita l’interfaccia del sito della compagnia, con l’obiettivo che l’utente inserisca le proprie credenziali per entrarne in possesso.
Un altro esempio riguarda i cybercriminali che si spacciano per un’istituzione finanziaria.
Creano una pagina di phishing identica a quella originale e inducono gli utenti ad accedere con le loro credenziali del conto bancario aziendale.
Se un dipendente inserisce le proprie credenziali, i truffatori ottengono l’accesso al loro account.
Un altro caso molto diffuso nel phishing è l’imitazione di email di notifica spedizioni, o problemi di consegna, con annesso sito replica fasullo per ingannare le aziende a rivelare i loro account aziendali o ad effettuare un pagamento per sbloccare una spedizione problematica.
Per attaccare realtà con decine di dipendenti, viene spesso sfruttato il fatto che in queste realtà è consuetudine che comunicazioni importanti avvengano via email, questa tecnica è definita attacco al CEO o BEC (business email compromise). In questo caso, gli attaccanti inviano un’email ad uno o più dipendenti impersonificando un dirigente dell’azienda che chiede loro di trasferire denaro da un conto aziendale a un altro conto con urgenza. Solitamente queste email sono create minuziosamente, perchè sia impossibile dubitare della provenienza, e dichiarano estrema fiducia nel destinatario, chiedendo totale riservatezza rispetto all’operazione, per evitare che questo si consulti con eventuali colleghi prima di eseguire.
In alcuni casi, i cybercriminali riescono addirittura a violare la vera casella email del mittente e la utilizzano per inviare questi messaggi, in modo tale che anche in caso di verifica, non emergano anomalie.
Questo è accaduto in un caso recente rilevato da Kaspersky. Con la tecnica dell’”hijacking della conversazione“: gli aggressori hanno ottenuto accesso all’e-mail della vittima e hanno risposto alle sue proprie conversazioni. Hanno quindi inviato messaggi con link a un “documento aziendale importante” e un messaggio con un allegato PDF chiedendo alla vittima di scaricarlo. Il PDF conteneva una falsa notifica da Microsoft Office 365 o Microsoft Azure che scatenava il Trojan Qbot quando veniva scaricato.
“Il Qbot (noto anche come QakBot, QuackBot e Pinkslipbot) è in circolazione dal 2007. Questo malware è classificato come un Trojan bancario in quanto consente agli hacker di estrarre le credenziali bancarie delle loro vittime. Il malware può anche raccogliere i cookie dai browser delle vittime, accedere alla loro corrispondenza, spiare le loro attività bancarie e registrare i tasti premuti. Infine, il Trojan può installare altri malware, come il ransomware”.
Questi esempi illustrano chiaramente come le PMI siano un bersaglio attraente per i cybercriminali. Le tecniche utilizzate sono sofisticate e spesso ingannevoli, sfruttando la fiducia degli utenti nei servizi legittimi, le loro abitudini di lavoro quotidiane e l’urgenza di risolvere eventuali “emergenze”. (Karspersky)
Le Migliori Pratiche per la Sicurezza Informatica delle piccole e medie imprese
In un mondo digitale in cui le minacce informatiche sono in costante evoluzione, le PMI devono rimanere vigili. Un singolo attacco informatico può avere conseguenze devastanti, causando perdite finanziarie significative e danneggiando la reputazione dell’azienda.
Per proteggere la tua azienda da queste minacce, ecco alcune raccomandazioni.
Formazione del personale
È fondamentale che il tuo team sia adeguatamente formato sulla cybersecurity. Come si evidenzia negli esempi riportati, in presenza di un attacco di phishing la consapevolezza è la prima linea di difesa. Puoi condurre un attacco di phishing simulato per assicurarti che siano in grado di riconoscere le e-mail di phishing. In Linkspirit abbiamo attivato diversi piani di simulazione e addestramento al phishing, modulabili in base alle esigenze dell’azienda. Scopri anche il percorso completo di sicurezza informatica “Linkspirit Care” che includo una parte teoria, l’addestramento e aggiornamenti periodici sulle nuove minacce.
Sicurezza dei terminali e della rete
L’uso di una soluzione di sicurezza come software di Endpoint Security, sistemi di Intrusion Detection (IDS) e Intrusion Prevention (IPS) e/o SIEM può aiutare a ridurre le possibilità di infezione, a rilevare in tempo infezioni andate a segno e a consentire di intervenire prontamente per risolvere i problemi.
Protezione di Microsoft 365
Se utilizzi Microsoft 365, come la maggior parte delle aziende, assicurati di proteggerlo adeguatamente, utilizzando anche applicazioni specifiche per proteggere da spam e phishing e per garantire la sicurezza di SharePoint, Teams e OneDrive. Assicurati di istruire i dipendenti sulla pericolosità degli allegati e delle macro inserite nei file di Office, che sono spesso attivatori di malware e virus.
Gestione degli accessi e privilegi
Istituisci una policy di gestione dei privilegi di accesso alle risorse aziendali, come le caselle di posta elettronica, le cartelle condivise e i documenti online. Ogni utente dovrebbe accedere alle sole risorse necessarie a compiere le sue mansioni. L’accesso dovrebbe essere rimosso in caso di interruzione del rapporto di lavoro, di cambio mansioni e anche semplicemete se l’accesso a specifiche cartelle non sia più necessario.
Backup dei dati
Esegui backup regolari dei dati essenziali per garantire che le informazioni aziendali rimangano al sicuro in caso di emergenza. Assicurati di mappare tutti i dati fondamentali e di verificare di poterli ripristinare con tempistiche adeguate alle esigenze operative aziendali.
Se vuoi approfondire i passaggi fondamentali per realizzare una strategia di backup efficace, puoi leggere le nostre guide: Progetta il backup dei dati aziendali e Monitora il backup dei dati aziendali.
Policy di utilizzo dei dispositivi aziendali
Fornisci una policy chiara sull’uso dei servizi, software e risorse esterne. I dipendenti devono avere chiare linee guida riguardo quali strumenti possono e non possono utilizzare e perché. I nuovi software di lavoro e i servizi in Cloud dovrebbero essere autorizzati dall’IT o altri ruoli responsabili, previa una verifica del livello di attendibilità e sicurezza.
Autenticazione multi-fattore
Istruisci il tuo team a creare password univoche e forti per tutte le utenze e i servizi digitali e a proteggere gli account con l’autenticazione multi-fattore quando possibile. È una buona norma anche impostare una data di scadenza per le password di accesso ai sistemi aziendali, in modo che sia più ostico replicarle in caso di violazione delle credenziali.
Servizi professionali di sicurezza informatica
Per ottenere un livello di protezione adeguato alle esigenze della tua organizzazione, considera l’utilizzo di servizi professionali. Gli esperti Linkspirit possono guidarti alla valutazione dei rischi e delle vulnerabilità come all’ implementazione e alla configurazione di strumenti e procedure per raggiungere il livello di sicurezza informatica che merita la tua impresa.
In conclusione, la sicurezza informatica nelle piccole e medie imprese non è più un lusso, ma una necessità vitale.
In uno scenario economico e operativo sempre più interconnesso e digitalizzato, è fondamentale che gli imprenditori e i manager delle PMI prendano sul serio la sicurezza informatica e investano nelle misure di protezione adeguate. La sicurezza informatica non è solo una questione di protezione dei dati, ma un elemento chiave per garantire l’affidabilità, la prosperità e la sopravvivenza dell’azienda nel lungo termine.