Sergio Ammassari – Responsabile Cash Management BNL BNP Paribas
Nell’era della digitalizzazione, dove possiamo eseguire comodamente da uno smartphone anche le nostre attività quotidiane più complicate, ci troviamo di fronte ad un continuo aggiornamento di sistemi, applicativi e dispositivi elettronici.
Basti pensare a come si è passati dai primi telefoni con l’antenna estraibile, pesanti ed enormi a smartphone più sottili di un dito, con schede madri più potenti di un personal computer degli anni ’90 ed in grado di sostituire radio, tv, fotocamere, torce, libri fisici e così via.
Prenotare una macchina in car sharing, comprare un biglietto per un concerto, prenotare una vacanza, scrivere un libro, guardare il nostro film preferito sono solo una minima parte delle attività che possiamo eseguire con il nostro pc, smartphone o tablet disponendo esclusivamente di una connessione Wi-Fi o rete mobile 4G/5G.
ATTENZIONE! Nonostante le infinite possibilità che ci offre la tecnologia, dobbiamo sempre tenere a mente che a tanti benefici corrispondono moltissimi rischi. Nello specifico, nel momento in cui ci si connette ad una rete, si sta tacitamente e più o meno consapevolmente accettando di scambiare dati. Fintanto che i dati sono impiegati per il mero utilizzo/fornitura dei servizi va tutto bene, ma nel momento in cui i dati potessero essere compromessi, sottratti e rivenduti, si potrebbero subire danni irrimediabili.
Se prestare attenzione per il singolo individuo è importante, per le aziende è fondamentale!
Qui entra in gioco la Cybersecurity, la sicurezza informatica ovvero l’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni o asset informatici.
Molte piccole e medie imprese credono che la cybersecurity debba riguardare solamente le imprese di grandi dimensioni, potendo quindi fare a meno di essa per la propria infrastruttura digitale. Questo è un errore molto frequente: anche le piccole imprese con pochi dipendenti (dotate magari solo di un sito web o di un semplice server dati ad accesso remoto) possono diventare vittime dei cybercriminali, venendo colpite con una frequenza anche maggiore rispetto alle grandi imprese (che, al contrario, investono enormi capitali nella sicurezza informatica presentando un grado di protezione più completo).
La cybersecurity coinvolge qualsiasi azienda abbia accesso ad Internet, ancor di più se la connessione è indispensabile per mantenere la produttività: possiamo parlare di cybersicurezza sia nelle piccole aziende che utilizzano un semplice server centrale per immagazzinare i dati (e per accedervi da remoto) sia per le imprese che usano le connessioni Internet per collegare interi reparti, stabilimenti o uffici.
Quali sono i fattori di rischio principali e le minacce a cui prestare maggiore attenzione?
Le minacce più frequenti sono senza ombra di dubbio i malware (tra cui rientrano anche i pericolosissimi ransomware) e il phishing, da sempre utilizzati come “arieti” per entrare all’interno di un’infrastruttura informatica. I malware includono i trojan e i worm (una tipologia di virus contenuta all’interno di file che sembrano innocui all’apparenza) anche se ultimamente stanno prendendo sempre più piede i ransomware, una speciale categoria di malware in grado di bloccare l’accesso ad un terminale e crittografare tutti i file in esso contenuti, con lo scopo di ricattare l’utente per lo sblocco.
I ransomware rappresentano una vera minaccia per qualsiasi azienda, visto che possono sia bloccare la produttività (i terminali colpiti risultano inutilizzabili) sia minare la stabilità economica di un’impresa (per via della cifratura di file importanti per la contabilità o per la produttività, recuperabili con estrema difficoltà una volta cifrati), oltre a creare un danno d’immagine per l’azienda che ne viene colpita.
Questo fattore non deve essere assolutamente sottovalutato: oltre ai danni materiali, che possono essere misurati o quanto meno facilmente stimanti, i danni “immateriali” come quello di immagine possono essere altrettanto consistenti. Se un’azienda viene pubblicamente riconosciuta come poco attenta alle tematiche di sicurezza o peggio ancora diventa vittima di un attacco informatico con perdite di dati e informazioni sensibili sui propri clienti e/o fornitori di dominio pubblico, il rischio che questa possa perdere importanti volumi di affari è elevatissimo, vista la sempre maggiore importanza che a livello di sistema viene data alla cybersecurity.
Cos’è il “Data Breach”?
I malware possono essere utilizzati anche per accedere silenziosamente al sistema informatico per trafugare i dati privati. Si parla infatti di Data Breach, quando un malintenzionato con elevate capacità informatiche riesce ad accedere alle informazioni riservate di un server o di un PC aziendale, utilizzando le informazioni raccolte per sferrare nuovi attacchi più potenti, per rubare dati personali o per svuotare i conti finanziari di un’azienda.
Un Data Breach può essere portato a termine anche attraverso la pagina di login del sito o del server e le probabilità che questo evento si verifichi possono essere ridotte adottando alcune precauzioni necessarie, pensate proprio per evitare attacchi informatici diretti. In questo caso può essere decisivo il fattore umano, visto che basta davvero poco per originare un Data Breach di dimensioni epocali (un dipendente che accede al server aziendale su un PC non protetto, non aggiornato o già esposto a minacce informatiche).
Il fattore umano: l’importanza della formazione e consapevolezza
La maggior parte degli attacchi informatici portati alle aziende celano l’errore umano: per quando grande può essere il sistema di sicurezza allestito, non è possibile prevedere tutti gli scenari in cui il fattore umano sarà decisivo per portare l’attacco informatico a compimento. Molti attacchi infatti partono dai dispositivi personali degli utenti o dei dipendenti ed essendo connessi alla stessa rete aziendale (anche da remoto, come nel caso del PC casalingo connesso al server), si propagano sull’infrastruttura aziendale causando danni.
Tutte le aziende devono quindi tener conto del fattore umano come parte integrante della cybersecurity: tutti i dipendenti devono essere formati sulle regole da rispettare per evitare attacchi informatici o per evirare di diventare portatori inconsapevoli di attacchi informatici con i propri dispositivi.
Sicurezza informatica in azienda, come difendersi? Regole e Best Practice
Quali sono le regole e le best practice per migliorare la sicurezza informatica in azienda? Possiamo dividere tra 2 principali attori all’interno dell’azienda: la struttura di Information Technology e tutti i dipendenti e per ognuna di queste 2 categorie si riportano di seguito le principali attività da porre in essere:
Attività in carico all’IT
- Antimalware e/o Antivirus
- Crittografia dei dati e VPN
- Monitoraggio attivo
- Asset Recovery Plan – in caso di attacco hacker
- Simulazione ʺCyber Attackʺ, testi di penetrazione con utilizzo di Hacker etici
interni all’azienda
- Analisi delle attività insolite
- Back up sicuri
Attività in carico a tutti
- Non lasciare mai i dispositivi incustoditi
- Non aprire link provenienti tramite Sms o Email da numeri e indirizzi mail sconosciuti
- Processi ʺfour eyesʺ e “call-back” per favorire una catena autorizzativa sufficientemente lunga che riduca fortemente da un lato il rischio di frode interna, dall’altro di errore umano
- Anagrafiche protette: prima di modificare un’anagrafica, soprattutto, ma non solo, quando modifichiamo le coordinate bancarie è fondamentale attivare processi autorizzativi robusti, come autenticazione a 2 fattori
- Separazione ruoli e competenze: attività con potenziali impatti critici di sicurezza, come ad esempio la gestione delle anagrafiche o la messa in pagamento di fatture, non possono essere gestite end-to-end da un unico soggetto, ma è necessario implementare dei controlli di linea di secondo livello
- Uso responsabile social
- Cambiare regolarmente il pin e password di sicurezza
- Aggiornare i propri dispositivi all’ultima versione del software
L’importanza della Sicurezza in BNL BNP PARIBAS
Visti i molteplici casi di attacchi informatici verso il settore finanziario e le norme vigenti in merito alla gestione e conservazione dei dati (vedasi la GDPR in merito alla riservatezza dei dati personali), in BNL BNP Paribas la cybersecurity ha da sempre avuto una grandissima rilevanza.
Nel corso degli anni, la sicurezza informatica ha raggiunto livelli elevatissimi grazie ad un continuo rinnovamento dei sistemi informatici, ad un dipartimento IT dedicato e ad una formazione del personale (sono erogati continui corsi di aggiornamento non solo tecnici ma anche comportamentali tanto che sono stati stilati dei vademecum per dipendenti su come gestire le varie minacce).
Ricalcando l’approccio descritto in precedenza, in BNL BNP Paribas sono stati implementati da un lato numerosi strumenti tecnologici atti a garantire la gestione, conservazione e trasmissione dei dati in sicurezza (citiamo a titolo di esempio gli investimenti fatti nel potenziamento della VPN (Virtual Private Network), l’installazione del motore antifrode e la predisposizione di Asset Recovery Plan ricorrenti), dall’altro sono state avviate numerose campagne informative a uso interno per divulgare a tutto il personale la massima consapevolezza possibile
nell’utilizzo degli strumenti digitale, l’uso sistematico di processi “4 eyes” e favorire la segregazione dei ruoli nei processi operativi in modo da evitare che interi processi siano seguiti end-to-end da un unico soggetto.
È stato proprio grazie ai grandi investimenti fatti nel settore Information Technology e in particolare nella cybersecurity, sia in termini infrastrutturali che di formazione e divulgazione, che BNL BNP Paribas è riuscita a garantire la continuità operativa negli scorsi anni, dove l’utilizzo massivo del lavoro da remoto è diventato strutturale, senza coglierci impreparati.
A questo, si aggiunge anche l’attenzione verso i clienti esterni grazie a campagne di sensibilizzazione, attraverso le quali vengono regolarmente evidenziati disclaimer, su tutti i canali ufficiali, che avvisano la clientela che BNL BNP Paribas non chiederà mai password, codici personali e pin delle carte e/o di accesso ai remote banking proprio per garantire la massima sicurezza e trasparenza a tutti i clienti consumer e non.
Cybersecurity in Italia: situazione e settori sensibili
Il mercato italiano della cybersecurity è in ascesa, specie se calcoliamo gli investimenti sostenuti dalle grandi imprese italiane anche se c’è ancora molto da fare in tutti i settori: gli ultimi anni sono stati caratterizzati da un importante aumento degli attacchi informatici verso ogni tipo di azienda, con ancora molti imprenditori e azionisti che sono fortemente scettici nell’investire una parte delle risorse in sicurezza informatica.
I settori più sensibili sono senza ombra di dubbio le infrastrutture pubbliche e le PMI che spesso hanno soluzioni obsolete o non investono abbastanza in cybersecurity risultando quindi estremamente vulnerabili ai nuovi attacchi.
In conclusione, investire in sicurezza informatica è una scelta necessaria per evitare di esporsi a danni alle infrastrutture (perdite di dati, ore di lavoro saltate ecc.), a danni d’immagine e perdite di clienti storici o al mancato arrivo di nuovi clienti.
Se le aziende più piccole possono risolvere la maggior parte dei loro problemi di cybersecurity con l’assunzione di un consulente esperto in informatica, per le realtà aziendali più grandi è consigliabile allestire un intero dipartimento per la cybersecurity, dove il responsabile alla sicurezza coordinerà i team di esperti per fronteggiare ogni tipo di minaccia.
Un po’ di dati
Per avere qualche numero a conferma delle dimensioni del fenomeno, possiamo notare dal rapporto del CLUSIT – Associazione Italiana per la Sicurezza Informatica che nel trimestre 2017-2020 come recentemente gli attacchi informatici siano cresciuti rapidamente:
I settori più colpiti sono i seguenti:
Il cybercrime è sempre l’attacco più tipico delle aziende, come vediamo dal grafico sottostante, ben 81% degli attacchi è da considerarsi cybercrime:
I malware, i cosiddetti software malevoli creati per infettare pc o dispositivi mobili, si confermano il mezzo preferito dagli hacker, utilizzato nel 42% del totale dei casi noti e cresciuto del 7,4%. Sono così diffusi anche perché hanno il vantaggio di essere prodotti industrialmente, a costi contenuti e in infinite varianti, così da adattarsi a più sistemi
Stabile il ricorso al Phishing, le truffe veicolate tramite email, che rappresenta il 15% del totale, mentre sono in crescita (+44.9%) gli episodi di SMShing, ovvero l’invio e ricezione di SMS contenenti link malevoli. Purtroppo, queste frodi si confermano molto diffuse ed efficaci, nonostante le varie campagne poste in atto per mettere in guarda gli utenti di servizi digitali di non cliccare su link inviate tramite mail se provenienti da indirizzi sconosciuti e di non comunicare mai via mail o telefono i propri codici di sicurezza.
I paesi che riportano più attacchi sono gli Stati Uniti con un 54% seguita dall’Europa dove l’Italia si posiziona al 4° posto per numero di attacchi subiti, nonostante il nostro paese non sia tra i più popolati, né digitalizzati al mondo:
- USA 54% 5. RUSSIA 3%
- OLANDA 13% 6. UK 2%
- GERMANIA 7% 7. SINGABORE 2%
- ITALIA 6% 8. ALTRI 13%
Sebbene il digitale offra infinite possibilità, dobbiamo sempre tenere a mente che ad ogni opportunità è collegato un rischio. Grazie a piccole accortezze e a buone pratiche, possiamo sfruttare tutti i benefici derivanti dal mondo digitale, minimizzando le possibilità di cadere in tranelli, tenendo ben presente che siamo tutti chiamati a fare la propria parte, perché una catena è forte quanto il suo anello più debole.