Pochi dollari e conoscenze informatiche di base per trasformare una chiavetta USB in strumento di “hacking” per infettare reti aziendali.
Mele: “In Italia siamo ancora lontani dal prendere sul serio il problema del cybercrime. Domina ancora la cultura della reazione al danno subìto piuttosto che quella della prevenzione”. Bernardi: “Danni reputazionali e rischio accertamenti del Garante quando si dovrà adempiere all’obbligo di notifica dei data breach”. Workshop sulla cybersecurity a Milano il 5 e 6 luglio
Potrà sembrare incredibile, ma bastano 20 dollari e qualche ora di lavoro di una persona con conoscenze di programmazione di base per trasformare una semplice chiavetta USB in un potente strumento di “hacking” in grado di infettare le reti informatiche di un’azienda con un malware.
L’inquietante rivelazione viene dal noto sviluppatore di software antivirus Kaspersky Lab, che ha condotto un esperimento con un dispositivo Usb “fatto in casa”, che comunque non conteneva nessun software dannoso.
Poichè dopo solo mezz’ora dall’inizio del test i ricercatori sono stati in grado di identificare quasi 30 password trasferite attraverso la rete attaccata, è facile immaginare quanti dati potrebbero essere raccolti in un’intera giornata.
Dopo gli oltre 450 milioni di password e indirizzi email trafugati con il leak “Antipublic”, e l’epidemia diffusa su larga scala del ramsomware “WannaCry”, che ha recentemente colpito oltre 200 mila computer per prendere in ostaggio i dati di privati e aziende, non c’è dunque tregua per le aziende che arrancano per difendersi dalle minacce informatiche.
“In Italia, purtroppo, siamo ancora molto lontani dal prendere sul serio il problema del cybercrime – spiega Stefano Mele, presidente della Commissione sicurezza cibernetica del Comitato Atlantico Italiano, che su questi temi sarà relatore al workshop di AFGE in programma il 5 e 6 luglio a Milano – Soprattutto le piccole e medie imprese non sembrano aver ancora compreso l’entità del rischio. Domina ancora la cultura della reazione al danno subìto piuttosto che quella della prevenzione. Ma non è più tempo di prendere la cosa sottogamba”.
E le criticità non riguardano solo la security dei dati, perchè anche sotto il profilo normativo le imprese italiane stentano ancora ad acquisire la necessaria consapevolezza sul nuovo Regolamento UE 2016/679 che sarà operativo dal 25 maggio 2018, come ha evidenziato una recente ricerca dell’Osservatorio di Federprivacy, da cui è emerso che il 72% delle aziende non si sono ancora dotate di un data protection officer, figura che trai compiti ha anche quello di informare e consigliare il management ed i dipendenti su come rispettare le regole quando si verificano dei “data breach”, come spiega Nicola Bernardi, presidente di Federprivacy: “Con il nuovo Regolamento UE le aziende avranno l’obbligo di notificare al Garante per la privacy ogni violazione sui dati entro 72 ore, e nei casi più gravi dovranno informare anche gli stessi interessati – spiega Bernardi – Molte imprese che sono vulnerabili sotto il profilo della sicurezza dei dati non si rendono ancora conto di come espletare tale adempimento possa esporre a forti danni reputazionali e agli accertamenti dell’Authority, aggiungendo al danno anche la beffa.”
Secondo le stime del Report Juniper Research, ammonterà complessivamente ad otto miliardi di dollari la spesa necessaria per far fronte alle violazioni dei dati informatici nei prossimi cinque anni, ed è quindi urgente che le aziende pubbliche e private corrano ai ripari, investendo in formazione del personale sull’utilizzo degli strumenti informatici, sulla sicurezza informatica e sulla protezione dei dati personali.