Secondo il rapporto per il 2021 dell' Associazione Italiana per la Sicurezza Informatica (Clusit), gli attacchi informatici gravi a livello mondiale sono aumentati del 32%, rispetto al 2018.
Dal cross-site scripting, in cui gli aggressori inseriscono nuove righe di codice in componenti di siti web non protetti, agli attacchi di phishing che prendono di mira gli account di posta elettronica e gli attacchi con malware tramite link a file sospetti, la sicurezza informatica diventa una preoccupazione sempre più importante per i proprietari di piccole e medie imprese. Per questo motivo, è di vitale importanza comprendere le basi della sicurezza digitale e capire come proteggere i propri sistemi dalle violazioni dei dati durante le operazioni quotidiane, sia che si tratti di creare un sito web o di configurare una rete privata per la propria attività.
Cos'è la sicurezza informatica?
La sicurezza informatica consiste nella salvaguardia delle informazioni protette e dei dati sensibili online. Le organizzazioni e le piccole imprese implementano misure di sicurezza digitale per difendere i propri dati sensibili dalle minacce interne ed esterne e per prepararsi al meglio a un eventuale attacco.
Per promuovere la cultura della sicurezza informatica e aumentare la consapevolezza sul tema, sia nel settore pubblico che in quello privato, nell'agosto del 2021, il governo italiano ha approvato una serie di decreti legge che definiscono l'architettura nazionale in materia di sicurezza informatica. Questi decreti leggi hanno introdotto varie novità in materia e hanno istituito: l’Agenzia Nazionale per la Cybersecurity, il Comitato interministeriale per la cybersicurezza e il Nucleo per la cybersicurezza, organizzazioni governative con l'obiettivo di gestire e ridurre il rischio di attacchi che minano la sicurezza informatica del paese.
Detto questo, il miglioramento delle infrastrutture nazionali va di pari passo con l'evoluzione dei metodi di attacco degli hacker. E, sebbene sia quasi impossibile eliminare tutte le minacce alla sicurezza digitale, è possibile ridurre notevolmente l'esposizione della propria azienda agli hacker, grazie a un solido livello di sicurezza informatica, o cybersecurity posture, un termine del settore che si riferisce all'efficacia di un sistema nell'organizzare le difese e respingere eventuali attacchi.
Le minacce alla sicurezza informatica più comuni per le piccole e medie imprese
Che molti proprietari di piccole e medie imprese si sentano vulnerabili agli attacchi informatici è una paura fondata. Infatti, gli hacker prendono di mira le piccole e medie imprese per due motivi principali: sanno che sono spesso vulnerabili e non possiedono le risorse per un team che si occupi esclusivamente della sicurezza digitale dell'azienda, e possono anche avere partnership con aziende più grandi, fornendo un accesso diretto ai dati sensibili di queste terze parti.
Dunque, per proteggere efficacemente la tua azienda e le informazioni dei tuoi clienti, è bene essere consapevoli di quali possono essere le principali minacce alla sicurezza informatica per le piccole e medie imprese:
Attacchi malware
Gli attacchi tramite malware comprendono una varietà di minacce informatiche come trojan e virus. In questi attacchi, gli hacker utilizzano appunto un malware per penetrare nelle reti private con l'intenzione di rubare o distruggere i dati. Gli attacchi malware di solito provengono da download fraudolenti, da email spam o dalla connessione di dispositivi infetti, comportando, potenzialmente, spese molto alte da parte delle aziende per rimediare al danno.
Ransomware
In un attacco ransomware, di solito, l'hacker infetta i computer attraverso le email, provocando danni che comportano spese significative. Gli attacchi ransomware, infatti, limitano l'accesso al dispositivo o alla rete infetta, trattenendo i dati sensibili della vittima, come password, file o interi database, chiedendo poi un riscatto (ransom in inglese) per riottenere l'accesso ai propri dati. In genere, gli hacker richiedono che il riscatto sia pagato entro 24-48 ore, per non distruggere o far trapelare i dati.
Phishing
Il phishing è una delle techniche più comuni di cyberattacco e si verifica quando un hacker invia un'email fraudolenta o un messaggio contenente un link pericoloso. Spesso, i dipendenti di un'azienda o di un ente e i loro account mail di lavoro sono la causa principale delle violazioni dei dati per le piccole e medie imprese, perché, cliccando sul link fraudolento inviato dall'hacker, forniscono un percorso diretto alle reti aziendali.
Gli attacchi di phishing possono provocare perdite di dati, blocchi del sistema o installazione di virus. Secondo il rapporto Clusit 2022, questo tipo di attacchi è cresciuto significativamente fra il 2019 e il 2020, per poi stabilizzarsi nel 2021, grazie alla crescente sicurezza delle reti aziendali, implementata per consentire ai dipendenti di lavorare in smart working durante la pandemia.
La triade CIA come modello di sicurezza
La Triade CIA (in inglese Confidentiality, Integrity e Availability) definisce tre le componenti vitali delle sicurezza online: confidenzialità, integrità e disponibilità. Ogni attacco informatico tenta di violare almeno uno di questi aspetti, e la relazione tra di essi fornisce una guida e standard di sicurezza digitale che delineano come i sistemi informatici dovrebbero operare.
Confidenzialità: tutti i dati aziendali sensibili dovrebbero essere tenuti riservati e accessibili solo a utenti autorizzati
Integrità: dovrebbero essere prese misure adeguate ad assicurare che i dati del sistema siano affidabili e degni di fiducia
Disponibilità: tutto il personale autorizzato deve essere in grado di accedere alla rete e ai suoi dati in qualsiasi momento. Questo significa che le aziende devono monitorare continuamente la sicurezza digitale della rete e la funzionalità del sistema
Per capire meglio la relazione tra questi termini, ecco un esempio della triade CIA per chi gestisce un negozio online:
Riservatezza: per accedere all'account, l'imprenditore deve inserire il suo nome utente e la sua password. Se dimentica le credenziali, può usare l'autenticazione a due fattori, che invia agli utenti un codice per reimpostare la password
Integrità: una volta entrato, ha accesso a dati personali e dei clienti accurati e inalterati
Disponibilità: il proprietario dell'azienda e i suoi clienti possono accedere al negozio in qualsiasi momento grazie alla sua disponibilità online H24, 7 giorni su 7
Come possono proteggersi le piccole e medie imprese?
Come accennato in precedenza, le piccole e medie imprese sono probabilmente le più soggette ad attacchi alla sicurezza informatica, questo perché non hanno le risorse necessarie per difendersi e riparare i danni provocati dagli attacchi. Ecco dunque qualche suggerimento, basato sul NIST Cybersecurity Framework, per proteggere le piccole imprese dai cyberattacchi, e per sapere come reagire in caso di sospetto attacco informatico.
01. Identificare gli elementi da proteggere
Il primo passo nella creazione di un piano di sicurezza informatica è quello di identificare tutti i dispositivi, gli account e i dati che hanno bisogno di monitoraggio e protezione. Questo include:
Attrezzature: computer, sistemi POS portatili, smartphone, router
Reti : reti Wi-Fi e VPN
Credenziali dell'account: informazioni di accesso per gli account di posta elettronica, software e strumenti aziendali, computer e portatili
Archiviazione su cloud: qualsiasi file o informazione che utilizzi il cloud storage
Il tuo sito web: comprese le informazioni sui clienti, l'inventario e il tuo provider di pagamento
Una buona pratica è anche quella di separare gli account e i dispositivi per uso professionale e personale. Per esempio, non utilizzate il vostro computer personale, e non protetto, per accedere ai vostri accout professionali.
02. Mettere in atto misure di difesa e protezione efficaci
La tua azienda ha bisogno di un approccio multiforme per difendersi dalle minacce informatiche. Ecco i passi principali:
Nominare un dipendente che sia responsabile di tutte le iniziative di sicurezza digitale (se sei l'unico dipendente, dovrai gestirlo da solo o assumere qualcuno di esterno che sia affidabile)
Installare software antivirus, crittografia completa del disco e firewall basati su host. Impostare tutti i software per installare automaticamente gli aggiornamenti
Permettere solo al personale autorizzato di accedere ai tuoi sistemi e alla tua rete
Richiedere password forti per tutti i dispositivi e gli account e aggiornarle ogni sei mesi. Le password forti sono composte da:
Almeno 8 caratteri
Una o più lettere maiuscole
Un carattere speciale
Un numero
Implementare i filtri antispam per la posta elettronica
Fornire formazione al personale sulle minacce più comuni
Usae un processore di pagamento sicuro per proteggere i dati dei clienti sistema di sicurezza
Eseguire il backup di tutte le risorse critiche
Utilizzare l'autenticazione a più fattori
Usare un provider di pagamento sicuro per proteggere i dati dei clienti
03. Rilevare ogni attività sospetta
La tua prima linea di difesa contro gli attacchi alla sicurezza informatica? Monitorare costantemente i tuoi sistemi di rete. Qualsiasi attività insolita o sospetta, come tentativi di login sconosciuti, strani trasferimenti di file o movimenti di dati dovrebbe essere segnalati al tuo responsabile per la sicurezza e indagati immediatamente.
04. Rispondere rapidamente
In caso di attacco informatico, rispondere in modo rapido è essenziale. Ecco una lista di passaggi essenziali per una risposta efficace:
Identificare quali sistemi o dati sono stati compromessi
Confermare il tipo di attacco
Informare tutti gli utenti della vostra rete. Se la fonte della violazione era un'e-mail, informare tutti i dipendenti di cancellarla immediatamente
Andare offline con il computer, il sistema o l'applicazione interessati per isolare l'attacco
Chiedere a una persona di riferimento o a un professionista IT di controllare eventuali backdoor che gli hacker potrebbero aver creato per riottenere l'accesso al tuo sistema in futuro
Identificare i danni creati dall'attacco
05. Riprendere le attività dopo l'attacco
Riprendersi da un attacco informatico può sembrare difficile. Come ogni sfortunato incidente, prendilo come un'esperienza di apprendimento e migliora la tua sicurezza, in modo che non accada di nuovo. Dopo un attacco, sii paziente e rendi possibile per i tuoi sistemi e i tuoi dipendenti di dare la priorità al recupero, prima di riprendere le attività come al solito o proseguire con nuove iniziative. Nel frattempo:
Informa le forze dell'ordine e le agenzie di regolamentazione dell'attacco subito
Sii trasparente e informa i clienti della violazione per riguadagnare la loro fiducia. Sebbene un attacco di cybersecurity possa danneggiare la reputazione di un'azienda, non essere trasparente e non condividere le informazioni sull'attacco con tutte le parti coinvolte può causare più danni che benefici
Scegliere un creatore di siti web sicuro
Il tuo sito web può contenere dati privati come informazioni sull'elaborazione dei pagamenti, dati della carta di credito dei clienti, indirizzi email, credenziali di accesso e l'inventario. Ecco perché la sicurezza informatica del tuo sito web è uno degli aspetti più importanti per proteggere il tuo business. Per questo è una buona idea scegliere un creatore di siti web che garantisca il massimo livello di sicurezza e di protezione dagli attacchi.
Piattaforme di hosting autogestite o piattaforme gestite
A differenza delle piattaforme autogestite, dove gli utenti sono responsabili della sicurezza del proprio sito web, le piattaforme gestite, come Wix, hanno dei team di sicurezza dedicati e disponibile 24 ore su 24 e 7 giorni su 7, che si occupano di sicurezza informatica. Per assicurare il più alto livello di sicurezza per tutti gli utenti, Wix ha sviluppato processi di controllo, indaga su attività sospette, lavora con consulenti esterni per la sicurezza e fornisce un servizio di hosting affidabile e protezioni HTTPS e SSL. Gli imprenditori sanno che i loro siti web sono protetti e possono tranquillamente gestire le loro attività aziendali, senza preoccuparsi. Per saperne di più su come Wix si occupa della sicurezza leggendo qui.
Le piattaforme per la creazione di siti web, come Wix, si impegnano anche a rispettare i più alti standard internazionali di privacy e sicurezza. Questo vale anche per tutti gli strumenti e le app aziendali sviluppate, come, per esempio, software di prenotazione online, i servizi di email marketing e l'eleborazione dei pagamenti online. Poiché le minacce alla sicurezza digitale si evolvono, rivolgiti a chi ha le risorse necessarie per rispondere a queste minacce, così da poterti concentrare sul tuo business.
Assicurati di scegliere una piattaforma per la creazione di siti web conforme ai seguenti standard:
Payment Card Industry Data Security Standard (PCI DSS) di Livello 1: questo standard di conformità per eCommerce protegge la sicurezza dei dati delle carte di credito e dei titolari delle carte
Standard International Organization for Standardization (ISO) 27017, 27001, 27018, 27701: sono i quattro standard di sicurezza primari dell'ISO, l'organizzazione che supervisiona le aziende che gestiscono servizi, dati e proprietà intellettuale affidati
Regolamento generale sulla protezione dei dati (GDPR): una legge dell'UE che garantisce rigorose pratiche di privacy e protezione dei dati. Anche le aziende al di fuori dell'UE aderiscono al GDPR per far capire ai clienti che sono volontariamente conformi ai più alti standard di sicurezza e di rispetto della privacy, per esempio, aggiungendo al proprio sito un banner dei cookie o creando informative sulla privacy adatte al tipo di attività di cui trattano
Risorse aggiuntive
Sapere che un creatore di siti web supervisiona la sicurezza dei siti che gestisce dà agli utenti la tranquillità di cui hanno bisogno per gestire in modo efficiente le loro piccole e medie imprese. Tuttavia, dovrai comunque preoccuparti di proteggere con password altri sistemi o database, come la rete internet e gli account di posta elettronica utilizzati dalla tua azienda. Senza un dipartimento che si occupi solo di questo, le piccole e medie imprese possono avere difficoltà nello stabilire un sistema di sicurezza completo. Usa queste risorse per aiutarti a creare un piano di sicurezza completo per la tua azienda:
Agenzia per la Cybersicurezza Nazionale: è l’autorità nazionale per la cybersicurezza istituita a tutela degli interessi nazionali nel cyberspazio. Garantisce l’implementazione della strategia nazionale di cybersicurezza e promuove un quadro normativo coerente nel settore
Computer Security Incident Response Team (CSIRT): un team costituito dall' Agenzia per la Cybersicurezza Nazionale per monitorare gli incidenti di sicurezza informatica a livello nazionale, emettere allarmi in merito a possibili minacce e intervenire in caso di incidenti
Punto Impresa Digitale (PID): i Punti Impresa Digitale sono strutture create dalle Camere di Commercio dedicate alla diffusione della cultura e della pratica della diffusione del digitale nelle MPMI (Micro Piccole Medie Imprese) in tutti i settori economici