Buongiorno a tutti e benvenuti in questo mio nuovo post. Oggi volevo dedicare questo nuovo articolo per fare il punto della situazione sugli attacchi informatici, data leaks e ulteriori situazioni sicuramente poco piacevoli che ormai tutti noi abbiamo imparato a conoscere fin troppo bene in questi ultimi anni.
Piccola introduzione
Da svariati anni il problema della sicurezza informatica è un qualcosa per così dire latente. Latente in quanto è sempre stato presente, ma tutti lo ignoravano bellamente, visto che si palesava non molto di frequente. Diciamo che è stato da sempre sottovalutato.
Il problema sulla sicurezza informatica non è comparso magicamente, da un giorno all’altro come appunto frutto di magia nera, ma è un problema sorto dalla continua sottovalutazione del rischio e della continua sottovalutazione del problema sicurezza stesso.
Noi siamo abituati a considerare la sicurezza solo in termini di beni concreti, per noi più tangibili: la sicurezza della nostra casa, la sicurezza dell’auto, la sicurezza personale. Ma si sottovalutano le questioni di sicurezza legate alla propria azienda online, al proprio account online, al proprio conto corrente sempre online.
Facciamo fatica in quanto non colleghiamo il fatto che, anche se una cosa digitale non la possiamo toccare fisicamente, non ci possiamo interagire direttamente, quella cosa è ugualmente importante ed è più a rischio di una cosa fisica, tradizionale. Infatti un oggetti fisico è presente in uno specifico luogo e quindi chi lo vuole rubare deve andare in quel determinato luogo, conoscere l’esatta ubicazione e procedere al furto. Questo non succede con un account, visto che è accessibile da tutto il mondo e quindi potenzialmente qualsiasi persona con un minimo di competenze ed un minimo di malizia può trafugare i nostri dati
E poi ci sono loro: i furti alle aziende, i così detti data leak, termine che abbiamo imparato ad apprezzare (si fa per dire ovviamente) in quest’ultimo anno.
Molto spesso chi ha cattive intenzioni, infatti, non attacca il privato rubandogli il suo specifico account, ma attacca l’azienda provider di un determinato servizio e che magari non si è occupato diligentemente della sicurezza del suo stesso servizio, vuoi per noncuranza economica o scarse competenze o entrambe le cose, facendo si che tutti gli account registrati in quel servizio, con tutti i relativi dati delle persone, si spostano nelle mani dei criminali, che a questo punto hanno in mano un bel valore contrattuale e valoroso a livello economico.
Ricordiamoci infatti che i nostri dati – quindi i dati delle aziende, dei privati, dei ricchi, dei poveri ecc. – valgono soldi. Palate di soldi. Lo sanno bene le grandi compagnie, che a fronte di servizi offerti gratuitamente, grazie appunto ai dati degli utenti guadagnano un sacco di soldi. E lo sanno ovviamente anche i criminali, che rubano i dati alle aziende (i così detti data leaks) e poi rivendono i dati nel mercato nero di internet, il dark web (molto spesso confuso con il deep web, per ignoranza credo).
Perché il numero di attacchi sta aumentando?
Ho voluto scrivere questa piccola introduzione per esporre la problematica odierna. Abbiamo potuto capire che ultimamente il numero di attacchi è aumentato vertiginosamente, trasformando quello che prima era un problema poco considerato (o per nulla considerato) ad un problema praticamente sulla bocca di tutti.
Ma come si è arrivati a questo? Come si è arrivati a questo aumento praticamente esponenziale, che non accenna ad un ben che minimo calo?
Beh c’è da dire che il fattore che ha fatto scattare il problema definitivamente, facendo si che la valanga cadesse, è stata la pandemia, che ha costretto aziende e privati a focalizzare il proprio lavoro online, utilizzando tutti quei sistemi digitali mal gestiti e mal pensati in precedenza, visto che non si sono tenuti conto di eventuali problemi di sicurezza informatica.
Quindi se non ci fosse stata la pandemia non si sarebbe evitato il problema. Molti infatti usano la pandemia come una scusa, ma ricordatevi che una scusa non è. È solo un mezzo ridicolo usato impropriamente per cercare di svincolarsi da delle responsabilità che non sono state soddisfatte.
Il problema ci sarebbe stato comunque, ma non sarebbe scattato con questa velocità: ci sarebbero voluti ancora anni, forse un decennio. Quindi la pandemia ha solo accelerato i tempi. E che accelerata!
Oggi quindi troviamo aziende grosse e piccole che subiscono attacchi informatici senza che riescano minimamente a difendersi. Non possono difendersi. Non hanno sviluppato gli strumenti per potersi proteggere e ora è come se con un ombrello cercassero di proteggersi da un’alluvione. È semplicemente impossibile farlo, è e sarà un’operazione del tutto fallimentare.
Perché è ormai troppo tardi per fermare gli attacchi informatici?
Questa sarà sicuramente una vostra domanda più che lecita, che leggendo il mio post vi starete sicuramente facendo.
Beh per rispondere bisogna prima comprendere un fatto, piuttosto semplice ma anche complesso effettivamente da comprendere: la sicurezza informatica non è un prodotto, non è che si compra e la si installa e festa finita, problema risolto nella maniera più totale.
Eh no, magari fosse così. Se fosse così, si potrebbe comprare la sicurezza informatica direttamente in un negozio, non ci sarebbero persone che fanno il mio lavoro (con questo non mi sto definendo un esperto, per carità c’è gente sicuramente di gran lunga più brava di me) e non ci sarebbero perché non ce ne sarebbe bisogno. Non ce ne sarebbe bisogno perché appunto compri la sicurezza informatica versione 2 ultra potente, la installi e sei a posto.
In realtà la sicurezza informatica o meglio cyber security, che comprende anche la parte di gestione dei rischi in caso di emergenza, è tutta una serie di pratiche che si adottano nel corso degli anni, che vengono attuate su misura con la propria realtà, su misura del proprio organico (delle risorse umane presenti specificatamente nella propria aziende, tanto per intenderci), che vengono riviste in caso di errore. La sicurezza informatica comprende studio, adattamenti, il comprare soluzioni giuste per migliorare aspetti che si scoprono essere vulnerabili nei propri sistemi, comprende test su test per valutare l’effettiva validità del proprio impianto di sicurezza e molto spesso questi test vengono commissionati ad enti esterni, aziende appunto al di fuori dal contesto dell’azienda che sta richiedendo il test, in modo tale che i risultati siano il più affidabili e onesti possibile.
Come potrete capire quindi non ci vuole un giorno per adottare un buon metodo di sicurezza, ma ci vogliono anni e anni di lavoro. Certo in caso di emergenza si possono adottare delle strategie per cercare di mettere una pezza temporanea e, nel caso si sia ricevuto un attacco tamponare i danni e nel caso invece l’attacco non si è ancora ricevuto e si vuole agire in modalità preventiva, appunto si può agire per evitare un attacco il più possibile.
Ma tutto questo è una pezza a fronte di un vero e proprio (e aggiungo funzionante) sistema di sicurezza collaudato, che preveda soluzioni per evitare attacchi dall’esterno, attacchi dall’interno (come dipendenti o collaboratori corrotti con qualche spicciolo – magari con qualche migliaia di euro non so – un grande classico ad ogni modo), per imparare a mettere password sicure per evitare accessi non autorizzati, per apprendere ed impostare una buona gestione dei permessi, che preveda la possibilità di sapere chi fa cosa e quando.
Se quindi non si è pensato a nulla di tutto questo, come si può pensare di proteggersi all’ultimo minuto? Anche se si investono palate di soldi non si è al sicuro e su questo Ho mobile ci ha sicuramente (o per lo meno ci deve aver insegnato per lo meno) qualcosa.
Quindi non si può fare nulla.. e ora cosa accadrà?
Come in psicologia, anche in questo caso l’identificazione del problema è il primo passo fondamentale da compiere per riuscire a trovare e ad applicare una soluzione per affrontare e risolvere un problema.
Quindi ammettere che ci si è sbagliati, che si doveva investire di più e che ormai sicuramente è troppo tardi, direi che è fondamentale. È fondamentale per provare quindi a costruire qualcosa di risolutivo.
Ma è anche importante per cercare di correre ai ripari. Il fenomeno degli attacchi che andranno a buon fine (ed è inutile che mentiamo per cercare di seminare una falsa ed ipocrita tranquillità, completamente inutile aggiungo anche) aumenterà semplicemente in modo esponenziale. E prima siamo in grado di accettare questo fatto, è meglio sarà per tutti.
Una volta accettato il fatto cosa possiamo fare?
Se sei un’azienda l’unico modo è iniziare ad assumere consulenti qualificati in sicurezza informatica e seri (ricordatevi, seri mi raccomando) che vi aiuteranno ad applicare appunto delle pezze, come vi spiegavo poco fa.
Questo è l’ultimo modo. Come dicevamo infatti è inutile pensare ad un nuovo sistema di sicurezza. Quello non si può fare, è troppo complesso e soprattutto necessita di troppo tempo. E tutto questo tempo sinceramente non lo abbiamo.
Quindi sicuramente bisogna:
- Ampliare il budget per la sicurezza dei server: comprare nuovi firewall magari più sicuri, impostare correttamente soluzioni di sicurezza, migliorare la sicurezza del proprio data center in locale, nel caso non si affidino i propri server ad un provider esterno (cosa che sinceramente io consiglio in quanto hanno soluzioni di sicurezza per proteggere fisicamente i server, sicuramente migliori di quelli che si possono avere in ufficio, dove magari chiunque può accedere alla “sala server”).
- Prendere un collaboratore: Prendere un collaboratore realmente esperto di sicurezza, che sappia quello che fa e che possa consigliare la metodologia ideale per proteggersi ed agire preventivamente, cosa sicuramente da preferire che agire per tamponare i danni
- Installare un sistema di log: Installare un sistema di log che appunto basandosi sui log di ogni macchina si può sapere chi fa che cosa, come e quando. Questo risulterà importante eventualmente per riuscire a prevenire alcune tipologie di attacco, soprattutto provenienti dall’interno, quindi tramite il citato dipendente corrotto, protagonista in uno dei paragrafi precedenti in questo post.
- Migliorare la politica delle password: grazie al consulente che si è scelto, vedi il secondo punto, è possibile andare ad impostare una politica delle password per ogni computer di un’azienda in modo tale che la sintassi minima che una password deve avere sia sufficientemente complessa da rendere difficile la vista di un malvivente. Attenzione: Cambiare tutte le password impostate in precedenza di questa nuova policy.
Come deve essere una password?
Visto che abbiamo accennato alla policy sulle password, vediamo come deve essere una password sicura nel 2021. Una password sicura, per un sistema di gestione come un server, deve avere minimo 14 caratteri, di cui almeno 2 caratteri maiuscoli, 2 numeri e 1 carattere speciale (il punto interrogativo, il punto esclamativo ecc.)
Riprendiamo con il nostro elenco
Avendo approfondito la policy sulle password, possiamo continuare con la stesura del nostro elenco
- Scegliere i protocolli di comunicazione giusti: Con il consulente di sicurezza che avete scelto – ripeto ne avete scelto uno, vero? (se non sapete chi scegliere contattate me) – andate a scegliere i protocolli di comunicazione più sicuri e moderni ricordando questa cosa: più un protocollo di comunicazione è vecchio, più è minacciabile e bucabile da qualcuno o più mette a repentaglio la sicurezza dei vostri clienti durante la navigazione nel vostro sito. Vi ricordo anche che per alcuni protocolli di comunicazione, è presente un obbligo di legge imposto dalla GDPR, che se non correttamente rispettato può comportare una bellissima multa, che vi consiglio (visto l’importo piuttosto esoso) di evitare categoricamente. Vediamo alcuni esempi di protocolli da cambiare, e in che cosa cambiarli:
- Protocollo http (porta 80) -> sostituirlo con https (porta 443)
- Protocollo FTP (porta 21) -> sostituirlo con SFTP (porta 22)
- Telnet (porta 25) -> sostituirlo con SSH (porta 22, come SFTP, in quanto sono lo stesso certificato)
- Protocollo POP3 (110) -> sostituirlo con IMAP (porta 143, anche se è preferibile la versione con ssl/tls, ovvero porta 993)
- Protocollo SMTP (porta 25) -> Sostituirlo sempre con SMTP ma con supporto all’ssl (porta 465)
Questi sono alcuni protocolli che si possono aggiornare per migliorare la sicurezza. Come starete constatando, le soluzioni per incrementare la sicurezza ci sono. Certo molti di questi protocolli saranno complessi e richiederanno un trasferimento di dati per poter essere applicati, ma una volta fatto vi posso garantire che forniranno un buon incremento sulla sicurezza dei vostri servizi in modo davvero enorme.
Cambio server
Molto spesso per effettuare questo genere di cambiamenti è necessario effettuare un cambio del o dei server. Questo cambio potrebbe essere assolutamente necessario per svariate ragioni: il sistema operativo installato nel server non supporta i nuovi protocolli e le nuove versioni dei vari servizi e non è possibile installare una nuova versione di un nuovo sistema operativo in quanto il server risulta essere eccessivamente vecchio.
Oppure è possibile installare ed applicare le soluzioni di sicurezza accennate in precedenza, ma poi l’intero server risulta essere troppo lento e quindi non più adatto a svolgere correttamente i compiti per cui era stato preso.
Ricorda bene: un server lento e/o un server che va in crash potrebbe essere un problema enorme per la sicurezza, in quanto non riuscirebbe sicuramente a reggere, previo ulteriori sistemi di sicurezza che vanno a proteggere la rete, ad attacchi brute force.
Quindi sicuramente se un server una volta aggiornato dovesse risultare lento o non propriamente stabile o peggio ancora, non si possono installare ed eseguire i nuovi protocolli e i nuovi sistemi di comunicazione, beh allora direi di procedere senza particolari indugi all’aggiornamento o nei casi più estremi al cambio vero e proprio della o delle macchine.
Applicazione di un sistema di sicurezza
Avendolo appena accennato, direi di spenderci due parole. Molte aziende non hanno alcun sistema di protezione (uno o più firewall) a protezione della rete aziendale, esponendo quindi tutti i dispositivi posti all’esterno dell’infrastruttura dell’azienda ad ogni tipologia di attacco che proviene dall’esterno. Questa sicuramente non è una bella situazione, anzi è consigliabile sistemarla il prima possibile. Se infatti non esiste alcun sistema di protezione, questo farà si che sia particolarmente facile per chi vuole creare dei “casini” in un’azienda riuscire ad entrare abusivamente in uno dei sistemi informatici installati appunto presso la sede stessa dell’azienda senza particolari problemi o complicazioni di sorta.
Questo è assolutamente da evitare. L’obiettivo della sicurezza informatica, di una buona applicazione della sicurezza informatica, è rendere il più difficile possibile il processo impiegato da un criminale digitale per rubare informazioni o semplicemente per far casino in una realtà imprenditoriale o comunque una qualsiasi realtà privata.
Per questo motivo è necessario installare un buon firewall fisico, a protezione e a controllo di ogni accesso di rete, che sia in grado di chiudere per le comunicazioni che provengono dall’esterno, tutte le porte che non vengono utilizzate per l’erogazione o per il corretto funzionamento dei prodotti / servizi dell’azienda.
È altamente consigliabile installare inoltre un firewall software per ogni postazione o server nell’azienda. Ricordo sempre (ovviamente) che è preferibile tenere i server in data center gestite da apposite compagnie, che tenere tutti i server all’interno dell’azienda.
I firewall installati a livello software in ogni postazione servono per fare in modo che se per caso il firewall che protegge la rete aziendale non dovesse riuscire a fermare un attacco, ci pensa una seconda linea difensiva, composta da un firewall per ogni dispositivo informatico.
Per applicare tutto questo, consiglio di rivolgersi ad un esperto, che ormai dovresti aver assoldato nella tua azienda, di sicurezza informatica. Ti ricordo, che se vuoi puoi contattare me -> https://teck-develoepr.com
Attenzione ai dipendenti e ai collaboratori
In tutta questa guida (ormai possiamo definirla così, vista l’entità di questo post) abbiamo dato per scontato che i vari attacchi informatici provengano sempre dall’interno. Ma no, non è sempre così. Molte volte il peggior nemico si nasconde all’interno, magari sotto forma di dipendente, che appena ricevuta una mazzetta da 200 euro, è disposto a bucare il sistema di sicurezza dell’azienda che essendo pensato per proteggersi dagli attacchi esterni e quindi non aspettandosi attacchi dall’interno, ecco che tutto il sistema di sicurezza che uno ha messo risulta non solo completamente inutile, ma può cadere come un castello di carte.
Per evitare tutto questo consiglio innanzi tutto di valutare i dipendenti e i collaboratori. Se un dipendente si lascia corrompere con 200 euro, vuol dire che forse è una persona di bassi principi e quindi molto probabilmente lo si sarebbe potuto anche lasciare a casa. Non credete?
Oltre alla classica selezione del personale, ovviamente, è necessario anche divulgare ai propri collaboratori e dipendenti che cosa si sta facendo con l’azienda, quali progetti ci sono dietro e quindi l’importanza di quello che stanno facendo. Se una persona non fa quello che fa solo per soldi, ma anche perché ha un obiettivo (che gli avete passato voi) ecco che sarà sicuramente meno corrompibile di uno che lavora solo per soldi.
Ed è un ragionamento normale. Uno che lavora solo per soldi ovviamente appena riceve 200 euro è super contento e quindi tende a compromettere l’azienda presso cui lavora, magari non pensando che facendo così molto probabilmente perderà il lavoro. PS: Sto dicendo 200 euro, ma magari la mazzetta può essere di 2000 euro.
Oltre alla mission e alla selezione del personale, è necessario fare in modo di gestire i permessi. Distinguere le varie figure all’interno di un’azienda. Se uno fa il commercialista (sto facendo un esempio ovviamente) non deve poter gestire i server. Se uno gestisce un server, non dovrebbe avere l’accesso a tutti gli altri. Ogni persona deve avere la possibilità di interagire con tutto ciò che deve fare in azienda, non che ognuno può fare tutto.
E soprattutto (e manca nelle aziende) è necessario installare un sistema che permetta di sapere chi fa che cosa e quando. Molto spesso le aziende non hanno idea di quello che fanno nello specifico i dipendenti all’interno di un’azienda. Ora non dico di monitorarli h24, ci mancherebbe altro, ma per lo meno sapere quali accessi sono stati effettuati e su quali dispositivi e se il computer presso cui è avvenuto l’accesso è il computer del rispettivo dipendente o se è un computer, presente in una rete, mai conosciuti prima.
Detto tutto questo…
Detto tutto questo, penso di aver scritto praticamente tutto quello che è necessario per impostare un buon sistema di sicurezza. Questa è solo una guida, ti ricordo che poi un consulente sa dove mettere le mani, analizzando il tuo specifico caso.
Questa è solo una guida per aiutarti a comprendere che devi prendere il prima possibile l’iniziativa per correre ai ripari.
Spero che questo mio post ti sia stato utile. In tal caso mi fa davvero molto piacere.
Con questo è tutto gente… alla prossima!