Cyber-rischi nell`azienda e come proteggersi

Siete protetti?
A quali cyberrischi è esposta la vostra impresa e come proteggersi
E-mail e in generale Internet sono da sempre un campo d’azione per i criminali informatici. Utilizzano il
web per accedere a informazioni confidenziali, ricattare imprese o sottrarre denaro da conti di terzi. Gli
strumenti tecnici offrono una protezione essenziale – per questo i criminali cibernetici usano volentieri
gli errori umani come chiavi per l’accesso a sistemi di terzi. In questo documento descriviamo i cyberrischi attuali e spieghiamo come prevenirli.
Cosa devo sapere sui cyberrischi, quali sono i
pericoli?
Ai criminali cibernetici spesso servono solo pochi minuti
per introdursi in una rete, causare danni e poi sparire.
Le statistiche dimostrano che il numero di attacchi
cibernetici riusciti è in costante aumento; sono interessate imprese di ogni dimensione. Misure informatiche
formano la base di ogni dispositivo di difesa contro i
rischi cibernetici – firewall, programmi antivirus e simili,
che vengono aggiornati costantemente e sono di ultima
generazione. Tuttavia, sempre più spesso, i criminali cibernetici utilizzano punti deboli non informatici,
procurandosi l’accesso alle reti aziendali attraverso il
contatto mirato di collaboratori – il «fattore umano»
diventa il punto debole decisivo. Nel farlo utilizzano
diversi metodi. I più conosciuti:
•
Social engineering: i criminali tentano di influenzare i collaboratori, in modo che rivelino informazioni
confidenziali, spesso al telefono. Per questo i criminali utilizzano informazioni pubbliche (ad esempio dal
profilo Facebook delle persone che contattano) per
arrivare a informazioni aziendali confidenziali o dati
utente.
•
Phishing: i criminali tentano, mediante la falsificazione di siti web o e-mail, di accedere a informazioni
confidenziali come nome utente o password. Servendosi dell’identità rubata i criminali manipolano poi i
dati o effettuano trasferimenti di denaro.
•
CEO scam: i collaboratori di un’impresa vengono
esortati per e-mail da un manager reale o fittizio
ad autorizzare trasferimenti di denaro. Un aspetto
importante dei CEO scam è il riferimento all’urgenza
e alla riservatezza; inoltre i criminali cibernetici utilizzano spesso numeri di telefono falsificati per eliminare eventuali riserve.
• S
oftware dannosi (malware): i criminali possono
servirsi di malware per perseguire diversi obiettivi. I tre
più frequenti:
–Introdursi in un sistema protetto
(esempio: cavallo di Troia, backdoor)
–Accesso a informazioni confidenziali
(keylogger, spyware)
–Cancellazione o cifratura di dati
(virus, ransomware).
Da qualche tempo assistiamo a un incremento degli
attacchi attraverso ransomware: tutti i dati sui computer
interessati vengono cifrati e resi dunque inutilizzabili.
Per la decifratura i criminali richiedono un riscatto
(inglese: ransom); come per un ricatto tradizionale,
non c’è garanzia che dopo il pagamento i dati vengano
decifrati e ritornino utilizzabili.
Anche i cavalli di Troia vengono spesso utilizzati. In
questo caso si tratta di malware spediti come allegato
di un’e-mail, spesso sotto forma di file Word o Excel.
All’apertura dell’allegato il software dannoso si installa
sul computer. In questo modo i criminali ricevono un
accesso a distanza al server e possono, ad esempio,
scaricare dati confidenziali o trasferire denaro.
La vigilanza è il modo migliore per proteggersi dai criminali informatici. I seguenti suggerimenti possono evitare
a voi e ai vostri collaboratori danni ingenti.
•Non cliccate mai su un link riportato in un’e-mail e
non aprite gli allegati se non conoscete e/o avete dei
dubbi sull’autenticità del mittente.
•Non disattivate mai i meccanismi di sicurezza (ad es.
il blocco delle macro), se ciò vi viene richiesto all’apertura di un file dovete informare subito il responsabile della sicurezza o l’amministratore del sistema
della vostra azienda.
•Non rispondete mai alle e-mail provenienti da mittenti sconosciuti e/o sospetti. Con la vostra risposta
indicate a un potenziale hacker che l’indirizzo di posta elettronica è in uso e che quindi può continuare i
suoi attacchi.
•Non reagite alle e-mail che promettono vantaggi
materiali («Lei ha vinto!»), poiché intendono indurvi a compiere azioni istintive mettendovi pressione
(«Non perda tempo, agisca subito!»), o che vogliono
mettervi paura («Il suo conto verrà bloccato!»).
•Controllate i link contenuti nelle e-mail prima di
cliccarci sopra: se vi spostate sul link con il mouse,
potete vedere l’indirizzo Internet collegato. Coincide
con il testo che viene visualizzato? Prestate molta
attenzione all’ortografia; nel caso di URL con più
parole separate da un punto è decisiva la posizione
del concetto prima del suffisso (.ch, .com, .net).
•Siate diffidenti se il contenuto e lo stile di un’e-mail
non si confanno al (presunto) mittente. Un’azienda
seria non vi invierà mai e-mail scritte in un cattivo
italiano con molti errori ortografici.
ubs.com/sicurezza
•Siate restii a fornire informazioni personali su piattaforme accessibili pubblicamente come Facebook e
Twitter.
Avete ricevuto un’email che vi sembra sospetta e che
si riferisce a UBS, ad es. come possibile mittente? In tal
caso, inoltrate l’e-mail come allegato a [email protected]. Assicuratevi che quest’e-mail non contenga dati personali come i dati del conto.
Dove posso trovare altre informazioni sui rischi
informatici attuali?
Gli uffici pubblici sui loro siti web offrono, tra le altre
cose, informazioni sulla situazione di pericolo attuale
e istruzioni per proteggersi dai rischi informatici più
comuni.
MELANI – Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione. Sul sito
web è disponibile una panoramica dei rischi attuali,
suggerimenti su come proteggersi e altre informazioni. Il sito web è rivolto alle PMI e a privati in Svizzera.
melani.admin.ch
Europol – questo sito web in inglese contiene
preziose istruzioni per proteggersi dal furto d’identità, dalla truffa con le carte di credito, dai malware
e molto altro. europol.europa.eu > Media Corner >
Crime Prevention
ENISA – Agenzia europea per la sicurezza delle reti e
dell’informazione. Su questo sito web in inglese troverete un’ampia gamma di contenuti sul tema dei rischi
informatici. enisa.europa.eu/topics
© UBS 2017. Il simbolo delle chiavi e UBS sono fra i marchi protetti di UBS. Tutti i diritti riservati. 650231
Come posso proteggere me e la mia azienda dai
rischi informatici?