domenica, Maggio 22, 2022
Disponibile su Google Play
HomeScienzaLe regole per prevenire attacchi informatici, anche se non si è grandi...

Le regole per prevenire attacchi informatici, anche se non si è grandi aziende

AGI – Prima gli allarmi dello Csirt, poi la Cisa americana, infine le schermaglie online e la guerriglia cibernetica è diventata una realtà. Però mentre le raccomandazioni a innalzare i livelli di sicurezza sono stati indirizzati anzitutto alle Istituzioni e alle grandi e medie aziende, adesso anche i ‘più piccoli’ devono fare attenzione alla loro ‘postura’ per prevenire attacchi mirati da parte di hacker di stato, attivisti anonimi e, allo stesso tempo, prevenire l’errore umano.

Per Marco Ramilli, amministratore delegato di Yoroi, “innanzitutto vanno ascoltate le raccomandazioni dell’Agenzia per la Cybersicurezza Nazionale, affidarsi agli esperti e poi usare il buon senso”. In un colloquio con Agi, abbiamo chiesto all’imprenditore alcuni consigli da seguire, a margine della presentazione del rapporto Yoroi-Tinexta sulla cybersecurity.

Partiamo dal buon senso, che regole suggerisce?

“Intanto bisogna ricordare agli utenti meno esperti che ogni email, ogni file, ogni interazione via chat può portare un pericolo. Noi di Yoroi abbiamo potuto confermare che spesso arriva sotto forma di attacchi di tipo phishing che sfruttano la familiarità con nomi conosciuti e software di uso comune come i fogli excel o i documenti word di Office”.

Tutto qui?

“Certamente no. Come dicono all’agenzia, verificare la corretta applicazione delle password policy valutando di cambiare le password – cosa sempre utile – e introducendo dove possibile l’autenticazione multifattore. Importante è avere sempre dei sistemi di backup, meglio offline, per eventuali ripristini che si rendano necessari a causa di una perdita di dati, e poi fare una lista di chi può fare cosa dentro la propria organizzazione stabilendo a priori i livelli di privilegio concessi a ciascun utente in modo che l’errore di uno solo non ricada sul resto dell’organizzazione e possa essere mitigato in tempo. Un approccio “zero trust”, come dicono quelli bravi, che preveda l’autorizzazione e l’autenticazione di ogni singolo accesso ai servizi informatici è cosa buona e gisuta. Poi ovviamente bisogna ridurre al minimo i servizi esposti su Internet. Molti attacchi partono dalla scansione delle risorse Internet sguarnite”.





cybersecurity regole sicurezza yoroi


© Yoroi



Marco Ramilli, Ceo di Yoroi





Ma è questo che si intende con l’Igiene Cibernetica?

“Più o meno, ovviamente in questo contesto noi parliamo delle cose minime da fare, gli esperti hanno liste più lunghe da seguire. Ovviamente nel caso delle maggiori aziende o delle grandi organizzazioni bisogna ricordare la necessità di proteggere il fattore umano. Una larga parte degli attacchi comincia con un imbroglio, una truffa, nei confronti di un impiegato, di un contabile, di un consulente, che fa leva su meccanismi psicologici quali l’autorevolezza dell’autore di una comunicazione, l’urgenza di una richiesta da soddisfare prima di subito, una debolezza personale”.

Basta questo a fermare gli attacchi?

“Magari. Ormai gli incidenti sono così frequenti e i cybercriminali così agguerriti che non possiamo mai dirci al sicuro. Perciò bisogna dire che una volta che l’incidente si è verificato ci vogliono sempre dei professionisti a gestirlo. Nella cybersecurity non ci si improvvisa, sia nell’analisi che nella riposta a quello che è successo – si tratti di un malware che ha infettato i sistemi informatici o di una campagna di malspam andata a segno -, ci vogliono degli specialisti in analisi e gestione del rischio per contenere i danni. E vale soprattutto quando parliamo di ransomware: pagare il riscatto è in genere sbagliato, mentre nel caso della doppia estorsione, quando si viene minacciati di mettere in pubblico l’incidente o divulgate i dati rubati, occore una buona gestione della comunicazione per ridurre l’impatto negativo sulla reputazione che ha in genere costi molto alti.

Possiamo dare dei consigli alle persone normali?

“Certo. Creare password lunghe, robuste e complesse che vanno memorizzate con uno sforzo mnemonico è la prima cosa da fare. Se ricordi facilmente una password vuol dire che è debole. Per questo la password può essere il risultato di un “algoritmo personale” ovvero una serie di domande di cui solo tu sai la risposta, e poi le metti insieme, magari con l’aggiunta di numeri e simboli speciali.”

Ma non sono troppe le password da ricordare?

“Infatti, però ci si può affidare a un password manager e abilitare l’autenticazione a due fattori”.

E poi?

“Poi fare sempre una copia dei materiali digitali, almeno di quelli di uso corrente, proteggerli con la crittografia e, infine, aggiornare costantemente le proprie macchine. Molti attacchi riescono perché sistemi operativi e software non sono stati aggiornati in tempo utile prima dell’attacco”.

Covid Abruzzo Basilicata Calabria Campania Emilia Romagna Friuli Venezia Giulia Lazio Liguria Lombardia Marche Molise Piemonte Puglia Sardegna Sicilia Toscana Trentino Alto Adige Umbria Valle d’Aosta Veneto Italia Agrigento Alessandria Ancona Aosta Arezzo Ascoli Piceno Asti Avellino Bari Barletta-Andria-Trani Belluno Benevento Bergamo Biella Bologna Bolzano Brescia Brindisi Cagliari Caltanissetta Campobasso Carbonia-Iglesias Caserta Catania Catanzaro Chieti Como Cosenza Cremona Crotone Cuneo Enna Fermo Ferrara Firenze Foggia Forlì-Cesena Frosinone Genova Gorizia Grosseto Imperia Isernia La Spezia L’Aquila Latina Lecce Lecco Livorno Lodi Lucca Macerata Mantova Massa-Carrara Matera Messina Milano Modena Monza e della Brianza Napoli Novara Nuoro Olbia-Tempio Oristano Padova Palermo Parma Pavia Perugia Pesaro e Urbino Pescara Piacenza Pisa Pistoia Pordenone Potenza Prato Ragusa Ravenna Reggio Calabria Reggio Emilia Rieti Rimini Roma Rovigo Salerno Medio Campidano Sassari Savona Siena Siracusa Sondrio Taranto Teramo Terni Torino Ogliastra Trapani Trento Treviso Trieste Udine Varese Venezia Verbano-Cusio-Ossola Vercelli Verona Vibo Valentia Vicenza Viterbo

YouGoNews