Il 2011 ha visto succedersi una serie di attacchi da parte degli hacker che non ha precedenti. Hanno colpito alcune delle maggiori company del mondo fra cui Sony, RSA Security, Google e il Governo USA. Che si tratti di gruppi di “hacktivisti” come Anonymous, di spionaggio informatico o di crimine organizzato, ogni impresa, a prescindere dalla sua dimensione, può essere oggetto di un attacco informatico.
Perché questa mole di hackeraggio proprio adesso? La risposta è molto semplice: giorno dopo giorno aumenta la quantità di informazioni preziose online e, allo stesso tempo, la sicurezza IT delle imprese lascia a desiderare. In altre parole, la maggioranza di questi attacchi poteva essere evitata. Vediamo come.
RSA Security (marzo 2011)
RSA Security, conosciuta in tutto il mondo per i token SecurID, è stata gravemente danneggiata da un attacco hacker. Gli hacker hanno ingannato i dipendenti RSA inviandogli una mail che li spingeva a scaricare un file Excel infetto. In questa maniera gli hacker hanno ottenuto l’acceso al network e rubato i token SecurID.
Lezione n.1: proteggi i dati riservati
RSA non avrebbe dovuto mettere online i token segreti. Quali sono le informazioni di valore che la società memorizza online? Molti dirigenti non sanno rispondere, quando invece la classificazione dei dati aziendale dovrebbe essere un compito in cima alla lista delle priorità. I titolari devono esaminare a fondo quali dati critici possono andare online e quali altri no, aiutandosi con una segmentazione rigida dei dati.
Lezione n.2: segmenta il tuo network
L’attacco a RSA ha usato i dipendenti per entrare nell’azienda. La formazione dei dipendenti non è affidabile al 100%, per questo è importante salvaguardare il sistema informatico aziendale attraverso una rigida segmentazione del network. In questo modo un pc infetto non mette a repentaglio la sicurezza dell’intero sistema IT.
Sony (da aprile a giugno 2011)
L’attacco a Sony hanno fatto notizia per settimane in quanto l’attacco effettuato dal gruppo LulzSec ha messo ko la rete Playstation, causando un danno a Sony quantificato in oltre 170 milioni di dollari.
Lezione n.3: security leadership
La ragione principale per cui il sistema di sicurezza Sony è stato superato è che non hanno un responsabile della sicurezza delle informazioni (CISO). Le aziende devono avere un responsabile della sicurezza IT con potere esecutivo, dal momento che quando i clienti affidano i dati personali alle imprese, in caso di furto o smarrimento la colpa viene data non a chi ha commesso il furto, ma all’azienda stessa.
Citigroup (giugno 2011)
Gli hacker hanno sfruttato una famosa vulnerabilità di livello base dei siti web per accedere ai dati confidenziali di Citigroup e rubare le informazioni contenute negli account di 200.000 clienti. Una banalità tralasciata ha causato gravi danni.
Lezione n.4: controllo periferico
Qualsiasi azienda che mette online delle informazioni sensibili dovrebbe avere il sito web controllato professionalmente. Se il sito Citigroup fosse stato testato in maniera rigorosa alla ricerca di falle o difetti delle applicazioni web, l’attacco non avrebbe avuto successo.
InfraGard Atlanta – partner FBI (giugno 2011)
Gli hacker hanno rubato 180 username e password dalla sede InfraGard di Atlanta e li hanno usati per hackerare le caselle email personali e aziendali dei membri dell’organizzazione. La maggioranza delle password erano crittografate, per cui gli hacker hanno usato solo quelle che erano facili da indovinare, e spesso le password venivano riutilizzate…
Lezione n.5: non condividere le password
La scelta di una buona password è la cosa più semplice che una persona possa fare, eppure molti la prendono sottogamba. È buona norma scegliere una password di 10 caratteri composta da una parola (non reperibile nel dizionario) inframmezzata da numeri e simboli. Ma anche tutto ciò diventa inutile se viene utilizzata la stessa password per più account. Solo l’autenticazione a due fattori garantisce la sicurezza di servizi d’uso quotidiano, come l’email e account Facebook.
Gli attacchi informatici potranno solo peggiorare: per questo è necessario che le imprese si preparino, adottando almeno gli accorgimenti di cui abbiamo parlato oggi. Per prevenire la stragrande maggioranza dei potenziali attacchi da hacker basta fare bene poche cose basilari.