La cybercriminalità è diventata pratica assai diffusa con effetti che possono essere devastanti. Per le singole persone ma soprattutto per governi, istituzioni e aziende. Quanto è stato fatto finora per evitare attacchi futuri è ancora largamente insufficiente. Lo testimoniano i dati relativi alla cybercriminalità 2018: +350% di attacchi ransomware, +250% attacchi alle email aziendali, +70% di attacchi phishing in azienda. 

Il fatto che il 2018 sia terminato senza alcun cyberattacco rilevante come lo è stato il ransomware noto come WannaCry non deve rasserenare o portare ad abbassare la guardia.  La battaglia contro la crybercriminalità è ben lungi dall’essere vinta. I trend emergenti indicano un aumento degli attacchi, la maggiore sofisticazione degli stessi e la crescita continua dei costi determinati da attacchi portati a termine con successo.  Due ambiti sono particolarmente a rischio, quello delle varie filiere produttive nelle aziende e quello delle infrastrutture IT nelle organizzazioni governative e istituzionali. In entrambi la vulnerabilità principale emerge dalle connessioni che legano tra loro realtà e persone diverse, siano essi dipendenti privati o pubblici, partner o fornitori, clienti o cittadini.

In un mondo sempre più interconnesso l’attenzione alla sicurezza digitale è in costante aumento ma non tale da scongiurare rischi e pericoli futuri. Le difese si sono fatte più robuste e strutturate ma anche i cybercriminali sono diventati più attrezzati e organizzati. I rischi non sono più semplicemente materiali ma economici e politici (geopolitici). I primi comportano la perdita di somme crescenti di denaro (banche e assicurazioni lo hanno già compreso a loro spese) ma i secondi possono ingenerare terrore, panico o confusione nella pubblica opinione, semplicemente toccando obiettivi politicamente sensibili (il caso della Brexit e poi l’elezione di Trump sono i due esempi diventati ormai casi di studio per tutti).

Il rischio e le criticità viaggiano sulla Rete e si insinuano nelle vulnerabilità di infrastrutture IT che, ad esempio in Italia, tutto sono tranne che sicure e attrezzate in modo adeguato per resistere e difendersi dagli attacchi cybercriminali.  In pericolo non ci sono soltanto aziende assicurative e bancarie ma anche quelle manifatturiere, come hanno dimostrato gli attacchi WannaCry del passato. Lo sono a causa delle numerose potenziali vulnerabilità delle filiere produttive e distributive a cui si affidano. Il rischio cresce quando queste filiere non sono fatte solo di persone ma anche di reti diffuse di oggetti, cosiddetti intelligenti ma che dal punto di vista della sicurezza spesso non lo sono affatto, usati per rendere più efficienti processi lavorativi e dispositivi utilizzati. La pervasività di questi oggetti sta rendendo complicato non solo individuare eventuali potenzialità di pericolo e vulnerabilità ma anche definire con accuratezza il perimetro nel quale un’azione di difesa possa essere efficace, anche in termini preventivi. La difficoltà nasce dalla crescente abilità dei cybercriminali di usare i dati e le informazioni come strumenti dei loro attacchi, falsificandoli o manomettendoli in modo da indurre false percezioni di pericolo, valutazioni sbagliate e azioni inoffensive o controproducenti.

Tutti i media sono oggi molto attenti al tema delle false notizie o post-verità. Poca attenzione è però posta al ruolo fondamentale da esse giocato in alcuni attacchi cybercriminali. In particolare quelli utilizzati per scopi politici e che stanno emergendo, in alcuni casi, anche come vere e proprie azioni cybercriminali finanziate e volute da stati sovrani, per scopi non necessariamente economici ma di geopolitica e dominio del mondo.

La politica, i governi così come le aziende stanno comprendendo che difendersi dai rischi della cybercriminalità non è solo un problema di investimenti. Bisogna avere strategie vincenti, introdurre policy e regolamentazioni, adeguate per la protezione dei dati (vedi GDPR), disporre di risorse altamente preparate e con gli skill adeguati, ma soprattutto bisogna essere creativi e innovativi quanto lo sono i cybercriminali. Ormai organizzati come una vera e propria industria, con startup emergenti, modelli di business come quello che preveder il franchising di strumenti e applicazioni e ricerca di nuovi addetti, spesso rubandoli a quelle realtà che li hanno formati e addestrati.

Tutte le aziende, comprese quelle manifatturiere, sanno di dover mettere in sicurezza i sistemi di posta elettronica aziendali così come i loro sistemi informativi (non solo infrastrutture e dispositivi ma anche applicazioni, utente o produttive) e i numerosi oggetti connessi (hardware e software) che stanno colonizzando le loro organizzazioni. Senza una strategia di difesa e prevenzione però il rischio è di focalizzare gli investimenti sulla protezione dei dati sensibili e sugli asset informativi aziendali, sottovalutando l’importanza di mettere in sicurezza ciò che rende unica e distinguibile dagli altri ogni azienda, organizzazione o Marca.  Proteggere la propria unicità passa attraverso la comprensione di quali siano gli asset strategici e delle priorità in termini di protezione e prevenzione. Proteggersi dal furto di dati è ormai una necessità ma gli investimenti in sicurezza dovrebbero anche interessare le proprietà intellettuali, le informazioni sui clienti, su partner e fornitori, le informazioni sul design e le caratteristiche di prodotto. Acquisita la consapevolezza necessaria potrebbe essere più facile capire meglio quali sono le vulnerabilità e da dove potrebbero arrivare gli eventuali rischi e attacchi.

Gli strumenti di difesa ci sono. Possono servire a tenere sotto controllo posta elettronica e comunicazioni aziendali in modo da scoprire eventuali vulnerabilità, diagnosticare tipologia delle stesse e mettere in campo quanto serve per prevenire o eventualmente reagire con rapidità in caso di attacco. In questo caso con l’esecuzione di piani già predefiniti con la collaborazione di tutte le diverse entità aziendali o organizzative, non solo informatiche e predisposti in modo da gestire in modo adeguata la comunicazione interna ed esterna dell’eventuale situazione di crisi sopravvenuta. Possono essere utili a valutare validità, coerenza ed efficacia delle policy messe in campo, delle strategie di difesa elaborate, delle procedure implementate (monitoraggio, servizi l’individuazione di attacchi, ecc.) per la protezione degli asset informativi. Procedure come quelle che prevedono la crittografia dei dati, le modalità di autenticazione per l’accesso e la predisposizione di difese stratificate e multi-livello. Strumenti e procedure non bastano. Devono essere affiancati da programmi di formazione, informazione e aggiornamento continuo in tema di sicurezza con l’obiettivo di educare al rischio, prevenire attacchi sempre più spesso esperiti attraverso tattiche di ingegneria sociale e alzare barriere (firewall) umane.