Gli attacchi informatici, in questo periodo, si sono moltiplicati. Il motivo è semplice: ci sono molti più utenti inesperti costretti ad utilizzare strumenti informatici, senza però conoscere i rischi della scarsa attenzione alle questioni della sicurezza. Sessioni lasciate aperte su piattaforme collegate a strumenti di pagamento, dati personali e procedure dispositive. Password banali e ripetute per più account di servizi diversi. Commistione di dispositivi e account aziendali con quelli personali. Sono solo alcuni degli esempi delle pratiche scorrette più diffuse che vengono sfruttate dai cybercriminali.
Per questo motivo, il Consiglio Nazionale degli Ingegneri, attraverso il suo organo principale nel settore dell’Ingegneria dell’Informazione, ha pensato bene di diffondere alcune raccomandazioni di carattere generale, ma che sono sufficienti al raggiungimento di un livello minimo di protezione nei confronti degli attacchi informatici più classici.
La prima regola è quella di dotarsi di uno strumento di protezione indispensabile come un antivirus, ma non basta averlo installato sul proprio computer. Occorre aggiornarlo costantemente, controllando che le definizioni per i nuovi virus vengano correttamente aggiunte alla protezione. In secondo luogo, è d’importanza assoluta mantenere una copia backup giornaliera dei propri dati più importanti. Nel dubbio, sarebbe opportuno fare una copia completa di tutti i propri files su un dispositivo separato ed esterno al dispositivo che si usa per lavoro.
Un discorso a parte merita il file sharing. In questo periodo sono molti gli utenti che cedono alla tentazione di scaricare film, musica, software e altro, dai canali pubblici di file sharing. Non tutte queste piattaforme sono legali e non tutte sono sicure. Andrebbero evitate assolutamente quelle non riconosciute, anche perché poco affidabili.
Le password devono essere robuste. Occorre abbandonare l’approccio tipico di chi vede le password come un’inutile e noiosa lungaggine di burocrazia informatica. Si tratta delle “chiavi di casa”. Non volerne avere, equivale a lasciare la porta di casa aperta. Averne di “corte” e “facile a ricordarsi” equivale ad usare una serratura apribile con un passepartout.
Le email e i messaggi WhatsApp sono il veicolo più pericoloso. Chi non è abituato ad identificare i tentativi di phishing, rischia di cliccare sui link proposti in questi messaggi e ritrovarsi in siti indistinguibili da quelli reali che catturano i nostri dati con la nostra complicità. Per chi sa come fare, sarebbe opportuno usare – non solo in questo periodo – sistemi di crittografia dei messaggi di posta elettronica.
In ambito aziendale, le raccomandazioni sono sull’importanza di dotarsi di sistemi di analisi dei log degli accessi alle applicazioni da parte dei dipendenti e sul monitoraggio dei dati sensibili attraverso sistemi di Data Loss Prevention. Per il resto, valgono le stesse indicazioni dirette ai privati.
Indispensabile è anche la formazione continua, ovvero l’aggiornamento frequente del personale sulle nuove minacce informatiche e l’invito al rispetto delle regole di policy aziendale in tema di sicurezza informatica (molti utilizzano account e strumentazione aziendale per scopi privati e questo espone l’azienda ad intrusioni e manomissioni oltre che alla violazione della privacy aziendale).
Superata la fase emergenziale, il C3I suggerisce tre iniziative di più ampio respiro:
- Campagne di sensibilizzazione su scala nazionale, attraverso i principali media, per informare sulle minacce informatiche e sui rischi concreti che esse comportano per la vita della collettività.
- Gruppi di lavoro ad hoc, a livello di Protezione Civile, Difesa e Interno, per l’attuazione di scenari di crisi nel caso di attacchi Cyber su scala nazionale.
- Comitato tecnico strategico che includa, oltre il DIS (Dipartimento informazione sicurezza) e i competenti Ministeri, anche i rappresentanti delle Università, delle Aziende specializzate e degli Ordini professionali, nonché di agenzie europee come ENISA ed Europol.