Cybersecurity: le PMI italiane sono davvero pronte?

cybersecurity PMI

Secondo una ricerca condotta da Grenke Italia, le PMI italiane sono ancora impreparate sul fronte della cybersecurity, mentre per le grandi realtà diventa un aspetto sempre più importante.

Una recente indagine condotta da Grenke Italia, società specializzata nel noleggio operativo di beni e servizi strumentali e Clio Security, con la supervisione scientifica di Alessandro Curioni, ha evidenziato un aspetto preoccupante per le piccole e medie imprese italiane. Con il 72,7% delle aziende che non ha mai partecipato a programmi di formazione sulla sicurezza digitale, emerge chiaramente una lacuna nella consapevolezza delle minacce online.

I dati più significativi della ricerca di Grenke Italia

I risultati rivelano un approccio superficiale al problema da parte delle aziende. Il 73,3% non è a conoscenza degli attacchi ransomware, mentre il 43% non ha designato un responsabile per la sicurezza informatica. In un’epoca in cui la connettività è lo standard, questa mancanza di preparazione costituisce una pericolosa vulnerabilità a dei potenziali attacchi.

Il quadro si complica ulteriormente con il regolamento europeo sulla privacy, che genera confusione, soprattutto in relazione alla cybersicurezza e alla protezione dei dati personali. Il 60% delle imprese che non considera prioritario affrontare le minacce ritiene che ciò non sia necessario poiché non tratta dati sensibili. Tuttavia, è fondamentale comprendere che la network security va oltre la semplice conformità normativa.

L’importanza della cybersecurity per le PMI

Aurelio Agnusdei di Grenke Italia sottolinea che la cybersicurezza è una parte integrante della trasformazione digitale. Michael Clemente di Clio Security aggiunge che gli investimenti in sicurezza debbano necessariamente aumentare, in modo da conformarsi agli standard europei e proteggere le aziende meno digitalizzate. Entrambi concordano sul fatto che la cybersecurity non può essere trascurata. Le imprese devono infatti investire nella formazione dei dipendenti, implementare misure di protezione e comprendere appieno le minacce digitali. La collaborazione tra aziende, esperti di sicurezza e istituzioni è fondamentale per creare un ecosistema digitale sicuro.

La ricerca di Grenke Italia sottolinea l’urgenza per le PMI di agire. La consapevolezza, la formazione e gli investimenti nella cybersicurezza rappresentano le chiavi per proteggere il tessuto imprenditoriale italiano in un mondo sempre più interconnesso. La sicurezza informatica non può più essere ignorata: è un imperativo digitale fondamentale per garantire un futuro sicuro e sostenibile per le imprese.

Giornata mondiale delle password: come generarle in modo sicuro

giornata mondiale delle password

Se proteggi i tuoi dati, proteggi te stesso: questo è l’invito del Garante Privacy in occasione del 4 maggio, giornata mondiale dedicata alle password. Scopri i consigli degli esperti per creare delle password uniche e sicure per proteggere la tua privacy.

Il 4 maggio si celebra il World Password Day 2023, una giornata mondiale per ribadire l’importanza dell’utilizzo di password forti, ricordando che quelle compromesse sono la seconda maggiore causa di cyber attacchi, dopo le vulnerabilità non risolte.

Perché creare delle password sicure

Una password sicura è la principale barriera contro gli hacker. Per questo è estremamente importante essere in grado di creare password a prova di tutti i moderni metodi di furto.

Ecco, quindi, i passi principali da intraprendere per non cadere vittima di furto di password.

Minacce alla sicurezza delle password

Oggi i cybercriminali sfruttano delle tecnologie decisamente più sofisticate rispetto a prima per impossessarsi delle password.

Ecco alcuni dei metodi principali:

  • Tecnica del dizionario: questa prevede l’utilizzo di un programma che combina automaticamente le parole del dizionario più comuni
  • Informazioni personali su social e condivise pubblicamente: spesso gli utenti usano all’interno delle loro password nomi, date di compleanno o la squadra del cuore. La maggior parte di queste informazioni sono individuabili semplicemente attraverso un’analisi dei singoli profili social
  • Attacchi con forza bruta: si tratta di un programma automatizzato che ricrea ogni possibile combinazione di caratteri, finché non trova la password, particolarmente efficace in caso di password corte
  • Phishing: comunicazioni via mail o messaggi che fanno volutamente pressione per convincerti a dare dei soldi o delle informazioni preziose. Spesso cercano di essere credibili personificando delle organizzazioni affidabili o qualcuno che conosci nella vita reale
  • Violazioni di dati passate: queste hanno reso noto in precedenza password e altri dati sensibili. Le aziende vengono prese di mira sempre più spesso e gli hacker sfruttano questi dati online per trarne profitto. Una situazione particolarmente pericolosa nel caso in cui si riutilizzano delle vecchie password, poiché hanno maggior probabilità di essere state compromesse.

Come creare una password efficace

Per proteggere i tuoi sistemi aziendali dai più moderni metodi degli hacker, è necessario impiegare delle password davvero sicure. Ecco alcuni consigli degli esperti per crearne una a prova di attacco:

  1. Usa una password con almeno 10-12 caratteri
  2. Evita le sequenze di numeri o lettere della tastiera perché possono essere individuate nel giro di pochi secondi. Evita anche parole comuni come password1 per lo stesso motivo.
  3. La password deve contenere minuscole, maiuscole, simboli e numeri: una maggior varietà la renderà meno prevedibile
  4. Evita sostituzioni di caratteri ovvie, ad esempio lo zero “0” al posto della lettera “O”
  5. Usa parole inconsuete. Anche se utilizzi delle parole comuni, sistemale in un ordine insolito e assicurati che tra loro non ci sia alcun legame fra loro
  6. Utilizza sempre qualcosa che abbia senso per te, ma che un computer potrebbe far fatica a ricordare.
  7. Riutilizzare le password compromette più account: usane quindi una nuova per ogni differente account.

In genere, esistono due approcci nel creare password affidabili:

Il primo consiste nel generare passphrase o frasi-password, che sono basate su un mix di parole comuni non collegate fra loro e con un ordine privo di senso. Un esempio potrebbe essere M0hntaGne7Colorate!. Queste funzionano perché sono facili da ricordare e ingannano i software creati dai cybercriminali.

Un altro approccio prevede l’uso di stringhe di caratteri casuali, prive di senso e contenenti caratteri di tutti i tipi (maiuscole, minuscole, simboli e numeri), come P8$*t&9a2#m@n!. La loro forza consiste nella loro impossibilità di essere scoperte o indovinate e possono essere ricordate con dei semplici trucchi mnemonici.

Come ricordare le password

Con così tante password uniche, dovrai prestare particolare attenzione anche alla loro conservazione.

Evita quindi di scriverle su carta, salvarle nelle app degli appunti del telefono o utilizzare la funzione di riempimento automatico del browser.

Impiega invece i seguenti metodi:

Attiva l’autenticazione a due fattori su tutti gli account più importanti. Questo controllo di sicurezza aggiuntivo si avvale di un supporto a cui hai accesso, come e-mail, messaggio di testo, dati biometrici (es: impronta digitale o riconoscimento facciale), o una chiavetta USB di sicurezza.

Aggiorna spesso le password più importanti, modificandole completamente.

Ricorda che se una password è comoda per te, lo è probabilmente anche per gli hacker: per questo la giornata mondiale delle password è importante per ribadire l’importanza di proteggere adeguatamente i tuoi dispositivi.

Hai bisogno di un aiuto professionale per aumentare la sicurezza informatica nella tua azienda? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Come riconoscere sms ed e-mail di phishing

sms e-mail phishing

Il phishing inizia con una e-mail, un sms o un’altra comunicazione fraudolenta inviata allo scopo di agganciare una vittima. Il messaggio sembra provenire da un mittente affidabile, come un collega, un ente o un’azienda conosciuta: se l’inganno riesce, la vittima viene invitata a fornire informazioni riservate su un sito web truffa. Spesso, nel computer del malcapitato si scarica un malware.

Questa pratica prende il nome di phishing. O smishing, se avviene tramite SMS.

Ecco come riconoscere questa tipologia di attacchi e tenere al sicuro i tuoi dati aziendali.

Alcuni esempi di phishing e smishing

Scopri come funzionano questi attacchi in dettaglio e come puoi proteggerti

 «Il tuo pacco è in attesa di consegna»: sms di phishing a nome di Poste Italiane

Capita spesso di ricevere degli SMS da parte di Poste Italiane che ti informa della presenza di un problema con la spedizione del tuo pacco e in cui ti viene richiesto di pagare un importo. Se fai clic sul link presente nel messaggio, ti verrà chiesto di effettuare il pagamento e di inserire i dati della tua carta.

Nonostante possa sembrare un sms sorprendentemente verosimile, in realtà si tratta di una truffa. Tuttavia, prestando attenzione ai dettagli, talvolta si possono trovare delle incongruenze.

«Il tuo account Amazon è incompleto»: e-mail di phishing da parte di Amazon

Nel caso di Amazon, i truffatori cercano di aggirare le misure di sicurezza. Ad esempio, in un’e-mail di questo tipo viene richiesto di aggiungere il tuo numero di telefono per proteggere il tuo account Amazon. La conferma del numero avviene tramite un link che, ovviamente, è manipolato. Tramite un modulo, i criminali cercano difatti di ottenere altri dati oltre al tuo numero di telefono, quelli della tua carta o il tuo indirizzo.

Messaggi di questo tipo sono spesso formulati con un’urgenza che ha lo scopo di metterti sotto pressione.

«Abbiamo rilevato un’anomalia sul tuo conto corrente. Reinserisci le credenziali di accesso»: sms da parte della tua banca

In questa comunicazione la banca chiede di cliccare su un link che apre un sito (in cui viene riportato il logo e il nome della banca), che sembra quello del proprio istituto di credito, in cui viene richiesto di inserire le credenziali di accesso al proprio conto corrente. Una volta inseriti, si riceve una chiamata nella quale viene richiesto un secondo codice per accedere ai servizi online della propria banca, l’OTP. Una volta comunicato, inizia lo svuotamento del conto.

«Ciao, sono in riunione e ho bisogno di un bonifico urgente sul conto di questo fornitore» e-mail di phishing da parte del CEO dell’azienda o di un collega

Le minacce interne sul posto di lavoro, ossia le mail che sembrano provenire da un account di posta aziendale, sono purtroppo all’ordine del giorno. Si tratta di attacchi meno frequenti rispetto al phishing tradizionale, ma sono molto più pericolose poiché più difficili da individuare.

Ad esempio, un dipendente dell’ufficio amministrativo riceve un’email dal suo capo che lo esorta a eseguire un bonifico con estrema urgenza sul conto di un fantomatico fornitore. Questo è un attacco di Business Email Compromise e può rappresentare una minaccia piuttosto grave.

Ma come si fa a riconoscere questa tipologia di truffe?

Cosa fare per riconoscere e-mail o sms di phishing

  • Verifica il mittente: passa il mouse sull’indirizzo e-mail del mittente per scorgere delle anomalie
  • Lo stesso vale per i link: passa il mouse sul link (senza cliccare) e vedrai che il dominio di destinazione ti sembrerà strano
  • Controlla manualmente il numero di spedizione o del pacco: inserisci il codice sulla pagina Internet di poste Italiane
  • Accedi al tuo account Amazon ed entra nella sezione Centro Comunicazioni: lì vedrai tutti i messaggi autentici di Amazon
  • Non cliccare mai su questi link e non rivelare informazioni riservate su di te o sulla tua carta
Hai bisogno di un aiuto professionale per aumentare la sicurezza informatica nella tua azienda? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.