Coronavirus, non solo con lo smartworking aumentano i rischi informatici
Non solo smartworking. I rischi che oggi un’azienda corre mettendo in collegamento da remoto decine di suoi collaboratori sono elevati. Non è solo questione di lavoro da casa, però. Come si è dimostrato in questi giorni con il sito Inps, al netto naturalmente della effettiva preparazione o meno dell’Istituto di previdenza, il pericolo di incursioni malaware è altissimo, costante e con effetti potenzialmente devastanti per l’organizzazione di un’impresa.
Centinaia di migliaia di persone, oggi stanno lavorando da casa, in collegamento da remoto con la propria azienda. Le riunioni sono online, utilizzando piattaforme di collaborazione e accedendo a siti e dati sensibili aziendali via Internet, in molti casi attraverso computer e telefoni cellulari privati. Se gli strumenti digitali offrono un grande supporto per i lavoratori da remoto, emergono alcuni segnali preoccupanti sul fronte del cyber risk.
Nelle ultime settimane, secondo i dati del Boston Consulting Group, società leader della consulenza strategica, sono stati acquisiti diversi domini web con marchio «Covid-19». Un’esca utilizzata da criminali informatici per mascherarsi da portali di informazione sull’emergenza. E sono in corso numerosi tentativi di phishing con email che sembrano provenire da organizzazioni autorevoli, ad esempio l’Oms, l’Organizzazione mondiale della sanità, ma che in realtà contengono link o allegati pericolosi, malaware che sottraggono ID e password aziendali o che permettono l’accesso a sistemi di pagamento, registri del personale, dati dei clienti, proprietà intellettuale.
Intanto, gli Osservatori del Politecnico di Milano hanno appena concluso una panoramica proprio sulle modalità e tipologia di approccio “cyber” alla sicurezza in azienda anche per capire come e cosa differisce da un approccio cyber da quello tradizionale dell’information security: il perimetro, il tipo di minacce e le misure sono diverse, pertanto dall’indagine emergono non solo le diversità nell’approcciare la gestione del rischio in modo innovativo, ma anche i molteplici vantaggi nel tenere conto dell’applicazione dei sistemi di sicurezza informatica. Nei grafici che riportiamo qui sotto sono rappresentati alcuni dei risultati di questa indagine degli Osservatori del Polimi.
L’indagine Managing the Cyber Risks of Remote Work Boston Consulting Group, guarda invece al futuro, e partendo proprio dall’emefgenza sicuerzza legata al virisu ha stilato le 7 misure che le aziende dovrebbero adottare per proteggere sistemi IT e dati dal rischio informatico nel lavoro da remoto.
1. Valutare l’infrastruttura IT di base per lo smart working.
Con tante persone che utilizzano dispositivi diversi (anche personali) collegati a server aziendali, le aziende sono tenute ad assicurare la sicurezza degli endpoint, che devono utilizzare solo applicazioni approvate edessere dotati di strumenti di sicurezza informatica, con un inventario dei dispositivi autorizzati a connettersi. È necessario garantire che le connessioni alle reti aziendali avvengano tramite reti VPN con autenticazione a due fattori per impedire lo spionaggio dei dati (il software VPN e token può essere scaricato in remoto, ma potrebbe essere necessario acquisire licenze aggiuntive). Infine, bisogna configurare firewall, reti, strumenti di collaborazione e server per accettare connessioni da remoto, valutando se acquistare hardware aggiuntivo o un fornitore in cloud per supportare l’aumento di connessioni.
2. Usare applicazioni e dispositivi sicuri.
È importate chiedere agli utenti di installare patch di sicurezza e aggiornare software di protezione e sicurezza (EPS) su tutti i dispositivi connessi alla rete aziendale, dotandoli di firewall personale, controllo delle applicazioni, antispyware e antivirus. Bisogna assicurare che tutti i dischi rigidi (interni e esterni) siano crittografati e rilasciati dall’azienda, impendendo l’uso di unità USB non autorizzate. Tutti gli endpoint dovrebbero avere funzioni di cancellazione remota in caso di dispositivo smarrito o rubato, e software di prevenzione della perdita di dati (DLP). È necessario eseguire regolarmente il backup per garantire un rapido ripristino in caso di incidenti. Inoltre, bisogna monitore i comportamenti anomali nei registri VPN e di accesso remoto, testare i processi di risposta in caso di incidente e il ripristino dei backup, installare protezioni per gli strumenti di collaborazione e teleconferenza.
3. Incorporare la sicurezza informatica nei piani di continuità operativa.
I piani di continuità operativa dovrebbero garantire che in caso di emergenza i team di risposta agli incidenti possano accedere agli strumenti dei dipendenti e collaborare con loro da remoto. Bisogna formare team di backup e abilitare il supporto remoto, realizzando piani di comunicazione chiari, in modo che chi si occupa di sicurezza informatica possa essere facilmente raggiunto anche in caso di emergenza (non con un solo canale, ad esempio la posta elettronica, che potrebbe essere compromesso). Fondamentale, adattare i piani tenendo traccia e integrando rapidamente le lezioni apprese.
4. Rendere i lavoratori consapevoli dei rischi per la sicurezza.
La formazione e le iniziative di sensibilizzazione sulla sicurezza informatica sono fondamentali per ridurre il rischio. Le aziende devono accertarsi che i lavoratori sappiano utilizzare le tecnologie di collaborazione da remoto e riconoscere le minacce informatiche legate al COVID-19 come phishing, e-mail e telefonate fraudolente. Chi lavora da casa dovrebbe configurare il proprio router con una rete di lavoro separata da quella dei dispositivi di famiglia. Ed è utile stabilire protocolli rigorosi per autenticare help desk e collaboratori. È importante distribuire guide e risposte alle domande frequenti per rendere i dipendenti consapevoli delle minacce.
5. Definire protocolli per prepararsi allo Smart Working.
La rapidità di transizione allo smart working può creare rischi per la sicurezza. Per prepararsi al cambiamento è fondamentale migliorare gli help desk di supporto tecnico, magari dotandoli di servizi chat e voce per rispondere alle esigenze e di metodi di autenticazione a più fattori (ad esempio l’invio di un codice ad un cellulare autorizzato). Bisogna definire esplicitamente le modalità di lavoro da remoto, con linee guida sui metodi per la connessione alla rete aziendale. Gli utenti devono essere formati sull’uso di piattaforme sicure di videoriunione evitando potenziali intrusi, e usare solo piattaforme di collaborazione e condivisione file approvate. Infine, bisogna rivedere le configurazioni di sicurezza, rilevando eventuali soluzioni IT utilizzate senza approvazione. Le aziende però devono anche essere aperte a nuovi modi di lavorare sicuri, ascoltando i suggerimenti dei dipendenti.
6. Incorporare la sicurezza informatica nella gestione della crisi d’impresa.
È importante adattare i piani di gestione della crisi informatica alle implicazioni di sicurezza COVID-19. Bisogna garantire che le linee di comunicazione dei team di crisi siano sicure e approvate, con diverse alternative disponibili, comunicando le procedure di emergenza, identificando l’eventuale personale di backup e definendo piani di successione per ogni ruolo. Inoltre, è importante stabilire meccanismi di comunicazione per tutto il personale durante la crisi, magari realizzando un canale di comunicazione COVID-19 sicuro e dedicato, ad esempio un’applicazione mobile, una linea telefonica o una casella di posta elettronica. È importante aggiornare di frequenza i lavoratori sull’evoluzione delle minacce informatiche correlate a COVID-19.
7. Aggiornare le misure di accesso e sicurezza.
Dirigenti e personale chiave che gestiscono dati sensibili spesso non hanno familiarità con la tecnologia, ma chi gestisce la sicurezza deve fornire indicazioni per ridurre il rischio. In particolare, gli alti dirigenti devono avvisare i loro familiari (con cui condividono la rete domestica) del fatto che potrebbero essere bersagli informatici, fornendo istruzioni dettagliate. Il settore finanziario deve verificare l’autenticità di tutte le comunicazioni, come e-mail, collegamenti e richieste di bonifico, richiedendo l’approvazione verbale per tutti i trasferimenti. I responsabili acquisti devono garantire che i dati riservati siano condivisi in modo protetto con soluzioni autorizzate, facendo attenzione ad email sospette. Gli assistenti devono verificare con attenzione le email con richieste dei dirigenti.