VIDEO | Attacchi informatici, l’esperto: “Il punto debole è l’uomo, a volte basta un clic”

I cyberattacchi sono in crescita esponenziale nel mondo: Mario Moroni, consigliere Aused e direttore dei Sistemi informativi di Federchimica e Certiquality, spiega come le aziende si stanno attrezzando e quali sono ancora i punti deboli

BOLOGNA – Sempre più cyberattacchi nel mondo, in “crescita esponenziale” e ormai in mano a veri e propri gruppi organizzati. Non esiste più dunque la figura dell’hacker “che vive da solo nel sottoscala e prova ad entrare nei sistemi”: al suo posto c’è un vero e proprio mercato, con tanto di ‘customer service’, che entra nei server delle aziende per rubarne i dati e rivenderli alla concorrenza o ridarli ai diretti interessati in cambio di un riscatto. E in Italia? Seppur con un “grado di consapevolezza variegato”, il mondo delle imprese si sta attrezzando per essere sempre più protetto in caso di attacco. Ma è “l’uomo il vero anello debole della catena”. È questo il quadro tracciato da Mario Moroni, consigliere Aused e direttore dei Sistemi informativi di Federchimica e Certiquality, che nel corso di un’intervista all’agenzia Dire racconta il mondo dei cyberattacchi, come difendersi e i piccoli accorgimenti da adottare che possono salvare intere aziende.

Ma cos’è un cyberattacco?

“È un attacco volto a rubare informazioni o dati sensibili o per riuscire a guadagnare dei soldi usando come mezzo la parte informatica e tecnologica di un’azienda o di un privato- spiega Moroni- in accordo con l’ultimo rapporto del Clusit (Associazione italiana per la sicurezza informatica), il numero di attacchi è in continua crescita, dai 130 al mese del 2018 passando per i 171 nel 2021 fino ai 207 del 2022. Stiamo parlando di una crescita esponenziale”, senza contare poi quelli “che non sono diventati famosi, che non sono stati denunciati, e che non stiamo calcolando”. Un mondo, quello del cybercrime, “popolato di vere e proprie aziende che lavorano su commissione o direttamente, organizzate per compiere attacchi oppure anche conto terzi”, che costituiscono un “vero e proprio mercato mercato finalizzato a fare soldi in maniera illecita”.

Contro i cyberattacchi le aziende corrono ai ripari e chi più chi meno investe nel proprio ‘fortino’ informatico per difendersi dagli attacchi.

In Italia in particolare “c’è chi è più strutturato e chi sta un po’ inseguendo, che ancora non ha capito quanto è importante difendersi e quanto una giornata o più di fermo della produzione, perché la mattina si trovano tutti i sistemi cifrati e bloccati, possa creare danno all’azienda stessa”. In ogni caso dall’osservatorio di Aused “dal punto di vista tecnico e tecnologico stanno cercando di mettere in atto tutte le risorse possibili”.

Ma anche la tecnologia più avanzata da sola non basta.

Secondo Moroni infatti sono i comportamenti umani, le debolezze, le distrazioni, un clic sbagliato, a determinare i veri disastri, che quando arrivano ‘da dentro’, cioè per mano inconsapevole dei dipendenti, creano molti più danni di un attacco esterno. Un modus operandi raccontato bene da Kevin Mitnick, uno degli hacker più famosi al mondo, scomparso da pochi giorni. “Nei libri che ha scritto, spiega chiaramente che i suoi sistemi erano assolutamente non informatici. Lui si informava su quale fosse l’organizzazione, quale fosse l’organizzazione all’interno dell’azienda, chi dipendesse da chi e poi si chiamava, telefonava fingendosi un collega in difficoltà”.

E molti ci cascano.

Alcuni esempi sono “la mail di uno sconosciuto che arriva al magazziniere intimando il pagamento di una fattura cliccando su un link”, oppure “la richiesta che arriva in amministrazione da parte di un fornitore di cambio del l’Iban”, o anche “una chiavetta usb trovata per terra e infilata nel proprio portatile”. Insomma, ci sono “tantissimi punti di criticità delle aziende”. E occhio anche alle telefonate negl spazi pubblici. “Se pensiamo alle telefonate di lavoro che si sentono facendo Milano-Roma in treno… Oppure a chi, costretto poi dal lavoro, apre il portatile senza curarsi di chi ha di fianco, con mail, telefono e dati aziendali in bella vista”, quando attorno chiunque può registrare o scattare una foto. “Se poi hai una bella voce squillante e magari perdi anche la connessione all’interno della galleria ripeti 2 o 3 volte delle informazioni riservate”, scherza Moroni. Di fatto quindi i dipendenti delle aziende “sono esposti perché non tutti sono abbastanza pronti”.

Come fare quindi per renderli più consapevoli?

“È necessario che le aziende si muovano anche per la parte di formazione delle proprie risorse”. Più formazione, dunque, ma anche fatta in un certo modo. Un sistema interessante e anche “divertente”, secondo l’esperto Aused, è quello di “organizzare delle campagne di finto spam, di modo che con difficoltà via via crescenti le persone imparino a identificare le mail fasulle e evitino di cliccare su su qualcosa che non deve essere cliccato”. Poi se ci cascano, “gli arriva un messaggio e poi fanno un piccolo corso di qualche minuto”. Una sorta di gioco offerto da varie piattaforme dove si può anche gareggiare con i colleghi, con tanto di classifica. E la cosa importante è che queste informazioni servono anche per destreggiarsi meglio in situazioni private. Perchè “non ci rendiamo conto di quanti dati regaliamo”, conclude Moroni.