Cyber Security Guide - PMI - Vi mostriamo la strada attraverso la giungla digitale - www.baloise.com/digitale-pfadfinder - Baloise Group
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cyber Security Guide – PMI Vi mostriamo la strada attraverso la giungla digitale. www.baloise.com/digitale-pfadfinder
Informazioni sugli scout digitali La truppa degli scout digitali di Baloise Group è composta da collaboratori motivati ed interessati. Come amba- sciatori della digitalizzazione, offrono un aiuto per riuscire a trovare la giu- sta strada nella giungla digitale. L’orga- nizzazione degli scout digitali Baloise nasce da una collaborazione tra GroupIT e Public Affairs. Obiettivo e scopo degli scout digitali Gli scout digitali Baloise forniscono un contributo facoltativo nell’ambito della Corporate Social Responsibility di Baloise, in quanto le esigenze della società vanno oltre l’acquisto di presta- zioni di sicurezza. I collaboratori Baloise dispongono di un vasto know-how che viene messo a disposizione della società al di là delle prestazioni di servi- zio rilevanti per l’attività aziendale. Avete interesse a partecipare ad uno dei nostri eventi informativi sul tema cyber security? Scriveteci un’e-mail: pfadfinder@baloise.com
3
Introduzione
Questa brochure ha lo scopo di aiutare I rischi a livello di cyber security sono
le PMI ad informare i propri dipendenti presenti sotto molte forme e possono
in merito ai rischi ed ai pericoli che si provocare danni di dimensioni elevate
celano nell’uso quotidiano di Internet con conseguenze devastanti. Il prin-
in ufficio ed a casa. Inoltre, essa spiega cipale punto debole nella sicurezza IT
quali sono le basi del cyber security pre- di un’impresa è e rimane sempre l’es-
sentando delle direttive preventive per sere umano. Una chiara comprensione
evitare di incappare proprio in questi dei rischi e delle conseguenze del pro-
pericoli. prio agire può però contribuire in modo
evidente a limitare la possibilità di fare
errori.
4 I termini principali
in breve
I termini principali in breve
Social engineering Cybermobbing
È “l’arte” di manipolare le persone allo Termine generale che indica quei com-
scopo di indurle ad adottare un certo portamenti volti a diffamare ed importu-
comportamento, ad esempio, vista la nare altre persone o imprese avvalendosi
buona fede di una determinata persona, dell’uso di Internet o di dispositivi
si cerca di manipolarla in modo tale da mobili. Fa parte del cybermobbing anche
farsi confidare informazioni riservate. il furto di identità, ad esempio allo scopo
Facendo appello alla disponibilità delle di svolgere transazioni o rilasciare affer-
vittime, il social engineer cerca di procu- mazioni a nome di altri. Si tratta anche
rarsi l’acceso a dati sensibili. qui di una forma particolare di social
engineering.
Phishing
Tentativi di accedere ai dati personali di Malware
utenti Internet attraverso l’uso di e-mail, Termine generale che indica i software
siti Internet o messaggi falsi allo scopo che eseguono funzioni indesiderate e
di danneggiare le persone coinvolte (ad dannose. Il malware spesso non si dif-
esempio furto di dati o di valori pecu- fonde da solo, bensì utilizza un pro-
niari). Il phishing è una forma particolare gramma ospite e, facendo leva sull’utilità
di social engineering. di esso, cerca di indurre l’utente a instal-
larlo. I programmi malware più cono-
sciuti sono i trojan, gli spyware e i ran-
somware.
Ransomware a livello mondiale mettendo completa-
(dall’inglese “ransom” per “riscatto”) mente k.o. tra gli altri anche ospedali e
Chiamati anche cryptolocker o virus del aziende di logistica.
riscatto, sono programmi di malware con
cui l’intruso riesce ad accedere a deter- Distributed Denial of Service (DDoS)
minati dati per poi bloccare l’utilizzo di Blocco che viene provocato da un sovrac-
essi o l’accesso a tutto il sistema infor- carico di richieste ai servizi IT esposti a
matico. Lo scopo è estorcere denaro per Internet, come un sito web, un e-shop
poter riacquisire l’accesso ai propri dati. oppure un forum, e che impedisce l’uti-
Nel 2017 gli attacchi dei malware Wanna- lizzo del servizio IT attaccato. Questo
Cry e NotPetya hanno ottenuto risonanza può avvenire a causa di sovraccarichi
non intenzionali oppure in seguito a un
attacco mirato. Si tratta di una forma di
ricatto sempre più utilizzata in tempi di
sempre maggiore disponibilità di canali
di vendita digitali.Sensibilizzazione Password e sicurezza Le password non andrebbero mai scritte quindi è bene cambiarle regolarmente. e non dovrebbero mai essere comunicate È molto importante quindi non cambiare a nessuno. L’autenticazione a più fat- solo un numero o una lettera, bensì uti- tori è un ottimo metodo e semplice per lizzare una password completamente aumentare la sicurezza di un account. nuova. Ad esempio, al momento del login viene inviato all’utente un SMS al numero di In caso di sospetto di uso illecito dell’ac- cellulare registrato contenente un codice count, è fondamentale modificare subito numerico per poter proseguire con la pro- la rispettiva password. cedura di login. Per ogni account dovreb- bero essere utilizzate password diverse, non troppo simili tra loro. È necessa- rio essere consapevoli del fatto che le password possono andare perse e che
Sensibilizzazione 7
Password e sicurezza
Cassaforti per password un account. L’applicazione stessa viene
Le cosiddette cassaforti per password protetta grazie a una complessa master
(password vault) servono a semplificare password o, sullo smartphone, anche
la creazione e la memorizzazione di pas- tramite identificazione con impronta
sword nuove ed esistenti, poiché ideal- digitale o riconoscimento facciale. In
mente per ogni servizio si dovrebbe uti- questo modo il collaboratore deve ricor-
lizzare un account proprio con password darsi solo la master password e poi può
diverse. Si tratta di applicazioni che consultare tutte le altre password.
permettono di generare una password
sicura e di salvarla in combinazione con Ecco alcuni buoni esempi di cassaforti
per password:
SecureSafe, 1Password e Keeper Security.
Checklist per la sicurezza delle password Esempio:
Almeno otto caratteri → password impostata: Mio figlio è nato
Maiuscole e minuscole nel febbraio 1994. Ha compiuto 24
Numeri e caratteri speciali anni quest'anno.
Nessuna combinazione di lettere
contenuta in dizionari → Tutte le lettere iniziali nel loro ordine
Password mai usata prima e le lettere maiuscole o minuscole e
i numeri compongono la nuova pas-
sword. Inoltre, si scambiano i segni di
Suggerimento
punteggiatura con un carattere spe-
ciale e si crea una password sicura e
Se non utilizzate alcuna cassaforte facile da ricordare:
per password, espedienti mnemo-
nici e frasi per password possono Mio figlio è nato nel febbraio 1994. Ha
aiutare a creare nuove password e compiuto 24 anni quest'anno.
quindi a ricordarle più facilmente. → Passwort: Mfènnf1Hc2aqa
Si tratta di frasi semplici che per-
mettono di creare una password
utilizzando, ad esempio, le prime
lettere di ogni parola.8 Social Engineering
Esempio e comportamento da seguire
Social Engineering
Esempio e comportamento da seguire
Gli attacchi di social engineering sfrut- Il social engineering può essere praticato
tano in linea di principio le emozioni nei vostri confronti durante una conversa-
umane. Gli hacker possono utilizzare l’a- zione, ma anche online oppure al telefono.
vidità o la curiosità delle proprie vittime I seguenti esempi hanno lo scopo di aiu-
contro di loro per farle cadere in trap- tarvi a riconoscere un certo schema
pola. Possono anche incutere paura alle ricorrente:
proprie vittime ricorrendo a minacce
o facendo leva sulla presunta urgenza → Il vostro interlocutore vi chiede in
delle proprie richieste e quindi manipo- modo casuale delle informazioni con-
landole. Molto spesso però gli hacker fidenziali
abusano anche semplicemente della
fiducia delle proprie vittime, ad esempio → La vostra interlocutrice si presenta
per entrare in possesso di dati riservati. come collaboratrice e chiede l’accesso
ad un’area protettaSocial Engineering 9
Esempio e comportamento da seguire
→ Il vostro interlocutore insiste sull’ur- → Se l’attacco si svolge per telefono,
genza della sua richiesta, minaccian- chiedete di farvi dare un numero per
dovi. poter richiamare (le chiamate di que-
sto tipo arrivano spesso da un numero
→ La vostra interlocutrice vi esorta a elu- anonimo o sconosciuto). Oppure inter-
dere eccezionalmente il regolamento rompete la comunicazione, riattac-
previsto cando.
Se siete già stati vittima di un attacco → Tenete a mente comunque che il
del genere oppure se lo siete attual- vostro scopo non è quello di riuscire
mente, consigliamo di adottare i a scacciare il social engineer, bensì di
seguenti comportamenti: identificarlo per potergli così impedire
di perpetrare nuovi tentativi di attacco
→ Mantenete la calma. contro di voi ed i vostri collabora-
tori. Ricordate che gli hacker spesso e
→ Non date alcun tipo di informazione, volentieri non lavorano da soli.
a meno che non sappiate con certezza
con chi state parlando e quali sono le
informazioni che questa persona può
ricevere sulla vostra azienda.
→ In caso di richieste, esigete sempre di
vedere il badge del dipendente o del
visitatore e non lasciate mai entrare
uno sconosciuto nell’area protetta.
→ Fate domande (ad esempio per identi-
ficare la persona) e se necessario ripe-
tetele. Questo blocca da una parte la
costante richiesta di informazioni di
chi vi sta difronte e vi aiuta a compren-
dere meglio la situazione.10 Phishing
Esempio e comportamento da seguire
Phishing
Esempio e comportamento da seguire
1.
2.
3. 4.
5.
Con l’e-mail sulla destra si spiega come 2. Manca il logo Facebook. Tutta la
riconoscere un’e-mail di phishing e e-mail non ha il solito formato tipico
come comportarsi nel modo giusto. di Facebook.
Fattori di riconoscimento (riquadri 3. Il link indicato per accedere a Face-
rossi) dall’alto verso il basso: book contiene una “o” di troppo.
1. Il mittente indicato ha due indi- Inoltre il link stesso non sembra
rizzi e-mail, il secondo dei quali assolutamente indirizzare verso una
non sembra assolutamente essere pagina di login o di sblocco della
quello di un impiegato di Facebook. pagina.Phishing 11
Esempio e comportamento da seguire
4. La questione sembra essere un po’ 92 % di tutti gli attacchi hacker iniziano
urgente. La stessa frase contiene con un’e-mail di phishing.
anche una minaccia sotto forma di
possibile cancellazione dell’account. Come comportarsi con le e-mail di
phishing?
5. Mancano il classico disclaimer e la Non tutte le e-mail di phishing sono iden-
nota sulla protezione dei dati a fine tificabili a prima vista. In caso di sospetto,
e-mail. Non sono neppure indicate potete procedere nel seguente modo:
le opzioni di presa di contatto con il → E-Mail löschen; sollte es sich wirklich
support di Facebook. Se in seguito um eine wichtige Mail handeln, wird
l’account dovrebbe essere vera- sich ein echter Onlinedienst nochmals
mente cancellato, qui sarebbero melden.
sicuramente riportate delle informa- → Cancellare l’e-mail; se dovesse trat-
zioni di contatto. tarsi effettivamente di un’e-mail
importante, il vero servizio online vi
Altre caratteristiche tipiche delle e-mail contatterà.
di phishing: → Verificare manualmente (senza clic-
→ Formulazioni impersonali care sul link all’interno dell’e-mail) lo
→ Errori di battitura e problemi con gli status del profilo o del servizio.
accenti → Chiamare il supporto clienti del mit-
→ Uso di una lingua inconsueta (ad tente e chiedere informazioni. Il
esempio l’inglese sebbene utilizziate numero di telefono del supporto
il servizio in italiano) clienti di un fornitore di servizi si trova
→ Diversi tipi di formattazione nell’e-mail. facilmente con una ricerca su Google.
Cifre e fatti:
45% degli utenti Internet cliccano sui link
contenuti nelle e-mail di mittenti scono-
sciuti.12 Phishing
e reazione in caso di attacco
Ricordate che le aziende serie, come isti- Phishing via SMS
tuti bancari e assicurativi, non invitereb- Gli attacchi di phishing possono essere
bero mai i propri clienti a reagire a una effettuati anche via SMS che può essere
comunicazione importante tramite link in inviato al cellulare. Controllare i mes-
una e-mail. Di norma, in quanto clienti, saggi SMS con dei link incorporati per
venite sempre informati anche telefoni- aiutare a rilevare i tentativi di phishing:
camente. → Verificare il nome ed il numero del mit-
tente (dati di contatto)
Se ricevete una (presunta) e-mail dalla → Verificare l’ortografia
vostra banca o dalla vostra assicura- → Visualizzare i link (ad es. il nome della
zione in cui vi viene richiesto di effet- società del mittente scritto corretta-
tuare il login tramite un link fornito, mente?)
potrebbe effettivamente trattarsi di una → In caso di dubbio, contattare il centro
e-mail di phishing. Se non siete sicuri, clienti del mittente per telefono o per
potete avviare il vostro browser ed effet- e-mail.
tuare il login direttamente nel portale
della banca o dell’assicurazione, dove
potrete scoprire se l’istituto finanziario
aspetta una reazione da parte vostra. In
alternativa, potete anche informarvi tele-
fonicamente chiamando la vostra banca
o assicurazione.Protezione da ransomware 13
e reazione in caso di attacco
Protezione da ransomware
e reazione in caso di attacco
Il ransomware può accedere in diversi → Mantenete sempre aggiornati i vostri
modi al vostro sistema e danneggiarvi sistemi. Le nuove versioni dei sistemi
con il blocco dei vostri dati. Tenete a operativi contengono spesso miglio-
mente le seguenti misure per evitare ramenti in fatto di sicurezza. Anche gli
questo tipo di ricatto: aggiornamenti del programma antivi-
rus contengono miglioramenti per il
→ Attenzione alle e-mail, soprattutto riconoscimento e la difesa antivirus e
all’apertura di allegati. I ransomware dovrebbero essere fatti regolarmente.
vengono trasmessi soprattutto tramite
e-mail e si propagano all’interno del Utilizzate inoltre una soluzione di
vostro sistema nel momento in cui clic- backup e create regolarmente copie di
cate su un link o scaricate un allegato. sicurezza dei vostri dati.
Usate assolutamente un antivirus per
verificare gli allegati di mittenti scono- In caso di attacco
sciuti prima di aprirli. → Non pagate il riscatto richiesto! In
questi casi spesso poi il riscatto viene
→ Attenzione ai dispositivi di memo- aumentato e i dati rimangono criptati.
rizzazione come le chiavette USB e i
dischi rigidi portatili. Soprattutto se → Rivolgetevi a un professionista e cer-
non conoscete l’utente precedente del cate di ripristinare il sistema con una
dispositivo e non siete completamente versione di backup precedente all’at-
sicuri del contenuto del dispositivo tacco.
stesso, non dovreste mai collegarlo al
vostro sistema.14 Ulteriori direttive preventive importanti
Ulteriori direttive preventive importanti
Attribuire le responsabilità diverso rispetto a quello in cui si trova il
La sicurezza delle informazioni è il com- supporto dati originale.
pito e la sfida di ognun collaboratore. Tut-
tavia, è importante nominare una persona Consigliamo inoltre l’uso di un firewall per
responsabile per la sicurezza delle infor- difendervi dagli attacchi esterni nonché
mazioni della vostra azienda ed un sosti- di un antivirus che verifichi regolarmente
tuto. Il responsabile per la sicurezza si l’eventuale presenza di aggressori nel
assume i compiti inerenti la sicurezza ed vostro sistema e nei file in esso presenti.
informa regolarmente voi ed i vostri colla-
boratori in merito alla situazione attuale La maggior parte dei programmi antivi-
relativa alla sicurezza delle informazioni rus, di firewall e di backup offre una ver-
all’interno della vostra azienda. Egli è la sione di test oppure è completamente
prima persona a cui rivolgersi in caso di gratuita. Pertanto, vi consigliamo di
domande, incertezze e attacchi. prendervi il tempo necessario per testare
alcuni programmi e scegliere una solu-
Salvataggio dati – esecuzione di backup zione adeguata nel prezzo e nelle presta-
Dati sensibili come informazioni sui zioni alle esigenze della vostra azienda.
clienti oppure transazioni possono
andare persi non solo nel caso di un Nel frattempo, anche le soluzioni di
attacco hacker. Anche altri fattori esterni backup in un cloud sono diventate
come l’incendio o i danni da acque pos- comuni. Siate però consapevoli che per i
sono provocare la perdita di dati. vostri dati vale la legge sulla protezione
dei dati del paese in cui si trova il server
Ricordate pertanto di fare regolarmente del cloud. Inoltre, dovreste comunque
delle copie di sicurezza dei vostri dati, i continuare a fare anche backup fisici dei
cosiddetti backup. Anche in questo caso vostri dati.
sono in vendita programmi di diversa
qualità e di diverso prezzo. L’importante Aggiornare sistemi operativi e
è che verifichiate regolarmente che i dati programmi
salvati possano essere ripristinati e che i Ricordate di eseguire regolarmente
backup vengano conservati in un luogo e frequentemente gli aggiornamentidi assistenza e sicurezza per il pro- 2022. La strategia pone le basi sulla prima
prio sistema operativo e i programmi in SNPC (2012-2017) e mostra le misure volte
uso. Queste patch chiudono le falle e le a ridurre i rischi cyber, rispondendo alla
lacune note, aumentando così la sicu- situazione di minacce attuali. Per ulteriori
rezza per tutte le funzioni utilizzate. informazioni sulla SNPC, consultare il sito
www.isb.admin.ch.
Tutti i sistemi operativi e programmi per
computer o smartphone hanno degli Dal 2010, lo Stato offre inoltre la Centrale
errori. Gli autori di malware sfruttano d’annuncio e d’analisi per la sicurezza
queste falle per penetrare nel computer o dell’informazione (MELANI) su www.
nello smartphone. melani.admin.ch, dove trovate informa-
zioni in merito ai pericoli e alle misure
Buon senso attuali, come anche un modulo di annun-
Quando navigate in Internet o eseguite cio per attacchi a danno di privati e PMI.
delle operazioni con dati sensibili, affida-
tevi sempre al vostro buon senso. Have I Been pwned?
Il servizio web Have I Been pwned (HIBP)
Per ulteriori linee guida preventive, infor- raccoglie e analizza i cosiddetti data
mazioni in merito alla cyber security e dumps che gli hacker mettono in rete
interessanti attacchi hacker dal vivo, par- dopo aver messo a segno i loro data
tecipate agli eventi informativi e alle pre- breach. HIBP offre agli utenti la possi-
sentazioni degli scout digitali Baloise. bilità di verificare se, in questo mare di
informazioni rese note e quindi non più
L’attività di hacker è punibile protette, si trova anche il proprio indi-
Qualsiasi tipo di attacco hacker è proibito rizzo e-mail o il proprio user name. Inol-
dalla legge. tre è possibile impostare anche una fun-
zione con la quale si viene informati
Sostegno statale tramite e-mail in caso i propri dati doves-
Der Bundesrat hat am 18. April 2018 sero essere resi noti in un data breach. È
die neu erarbeitete Nationale Strategie inoltre possibile cercare tra le password
zum Schutz der Schweiz vor Cyber- rese pubbliche. Per questo motivo è
Risiken (NCS) für die Jahre 2018–2022 importante utilizzare più password, poi-
verabschiedet. Die Strategie baut ché quelle rese note nei data breach ven-
Il 18 aprile 2018, il Consiglio federale ha gono vendute in Internet e non possono
emanato la Strategia nazionale per la quindi essere più utilizzate.
protezione della Svizzera contro i cyber-
rischi (SNPC) per il periodo dal 2018 al https://haveibeenpwned.comBaloise Group
Aeschengraben 21
000.1038 i 1.20 100
CH-4002 Basel
pfadfinder@baloise.com
www.baloise.comPuoi anche leggere
