Tra le attività svolte dai responsabili per la sicurezza informatica nella Pubblica Amministrazione ma anche in grandi/medie/piccole imprese, c’è anche quella di avvertire gli utenti delle potenziali casistiche di attacchi che possono mettere a rischio i dati e i sistemi dell’azienda. Uno dei must della sicurezza informatica, infatti, è l’aumento del livello di cultura e attenzione in ambito cybersecurity attraverso corsi, processi di awareness, case studies indirizzati ai dipendenti.

Tra gli attacchi che colpiscono maggiormente le aziende vi sono:

  • il DDOS, che rende un server o un’infrastruttura indisponibile sovraccaricando la banda del server, o utilizzando le risorse fino all’esaurimento. Spesso vengono lanciati più attacchi contemporaneamente, a larga scala, che possono bloccare il sito web o l’infrastruttura IT anche per alcune settimane;
  • attacchi ad applicazioni Web, tipo il phishing, dove si simulano pagine di iscrizione o inserimento di credenziali o tramite l’invio di mail con link infetti.

La sicurezza non è mai troppa

Una delle classiche raccomandazioni fatte dai responsabili per la sicurezza informatica è quella di non aprire link, allegati o installare applicazioni provenienti da mittenti sconosciuti o non attendibili.

Eppure, anche queste regole possono non essere sufficienti. A metà settembre, per esempio, un attacco hacker è stato indirizzato ad un famoso e molto utilizzato strumento di pulizia dei computer, CCleaner, attraverso l’apertura di una porta negli aggiornamenti dell’applicazione. Secondo la società produttrice, l’applicazione è stata aggiornata per più di 2 milioni di volte in meno di un mese, da quando il software è stato sabotato (15 agosto – 12 settembre) e suggerisce di rimuovere la versione 5.33 del software – che è quella disponibile nel periodo in oggetto – e il malware associato, pulendo interamente il computer e ripristinando file e dati da un backup precedente al 15 di agosto.

Il settore finanziario è sicuramente tra i più sensibili e potenzialmente soggetti ad attacchi informatici. È anche vero che, tra i principali attacchi del 2016, il primo dell’elenco è avvenuto nel settore medicale, nei confronti dell’Hollywood Presbyterian Medical Center che – a seguito di un blocco del sistema informativo e quindi dell’intera attività – è stato costretto a pagare un riscatto di 17mila dollari per ottenere dagli hacker la chiave di decifratura. Al secondo posto si trova una piattaforma di appuntamenti on line e, al terzo posto, la Banca del Bangladesh, che ha subìto una cyber-rapina per un danno stimato in circa 81 milioni di dollari.

Direttiva NIS per la sicurezza informatica nella UE

A livello comunitario, la Direttiva NIS On security of network and information systems è stata adottata dal Parlamento europeo il 6 luglio 2016 ed è entrata in vigore nell’agosto 2016. Gli Stati membri hanno 21 mesi per trasporre la direttiva nelle rispettive legislazioni nazionali. La NIS prevede misure per accrescere il livello complessivo della sicurezza nell’area UE, garantendo:

  • preparazione degli Stati membri;
  • cooperazione tra i Paesi che dovranno, tra l’altro, istituire una rete CSIRT, al fine di promuovere una collaborazione rapida ed efficace in caso di incidenti;
  • una cultura della sicurezza in settori vitali per l’economia e per la società, quali energia, trasporti, acqua, banche, infrastrutture del mercato finanziario, sanità e infrastrutture digitali.

Le imprese di questi settori, che sono identificate come operatori di servizi essenziali, dovranno adottare misure di sicurezza adeguate e comunicare incidenti gravi all’autorità nazionale competente. Anche i fornitori di servizi digitali chiave (motori di ricerca, servizi di cloud computing e mercati on-line) dovranno rispettare i requisiti di sicurezza e di notifica previsti dalla nuova direttiva.