Anche le PMI e le piccole organizzazioni sono vittime di cyberattacchi. Due società svizzere cadute nella trappola raccontano le conseguenze dell’accaduto e come hanno reagito, fornendo alle altre consigli sul modo migliore per proteggersi.
Protezione completa con beem
Semplicemente tutti e tutto, ovunque e sempre al sicuro con beem: navigazione sicura e accesso sicuro ai dati aziendali.
Come ogni mattina, anche quel giovedì Felix Keller, responsabile dell’ufficio amministrativo dell’Unione delle arti e dei mestieri di San Gallo (GSGV), è andato a controllare le e-mail sul proprio smartphone. Il server però non era raggiungibile. Così ha informato i collaboratori e l’azienda informatica esterna del problema e si è recato in ufficio nel centro città. Quando poi è arrivato il messaggio del ricattatore, gli è stato tutto chiaro: l’intera infrastruttura IT, compreso il backup degli ultimi due mesi, era stata criptata da un ransomware. L’esca è stata un’e-mail di phishing. «Il mio primo pensiero è stato: perché proprio noi? Non può essere», afferma Keller ripensando a quel momento.
Anche Remo Muggli, amministratore delegato e comproprietario dell’agenzia di reclutamento stewards.ch, ha constatato a proprie spese che le PMI e le piccole organizzazioni sono oggetto di interesse per i criminali informatici: «Ci hanno segnalato che i dati dei nostri clienti erano finiti nella darknet.» Così sono iniziate le ricerche: i dati sono autentici? E se sì, da quale sistema provengono?
Alla fine l’azienda si è resa conto che i dati provenivano da un database di prova. «Non abbiamo mai comunicato pubblicamente l’indirizzo», afferma Muggli. «Ma a quanto pare gli hacker hanno comunque trovato l’accesso durante una scansione automatica.» E hanno sfruttato la falla nella sicurezza presente nella versione del software installato. «Non penso che siamo stati vittime di un attacco mirato», aggiunge Muggli. «Ma piuttosto uno bersaglio tra tanti di una ricerca su vasta scala.»
Fare ordine dopo un cyberattacco
Per Muggli e il suo team non tutti i mali sono venuti per nuocere: il dipartimento informatico della polizia è riuscito a rimuovere rapidamente il link ai dati e le persone coinvolte si sono dimostrate perlopiù comprensive. In questo modo stewards.ch ha inoltre evitato un danno alla reputazione, aspetto fondamentale per un’attività basata sulla fiducia come la gestione del personale. «Finché non abbiamo trovato l’origine, abbiamo passato un periodo davvero stressante», racconta Muggli. «Soprattutto perché ci premeva informare gli interessati in tempo utile.»
«Dopo l’attacco ransomware abbiamo potenziato le nostre misure di sicurezza.»
Felix Keller, responsabile dell’ufficio amministrativo dell’Unione delle arti e dei mestieri di San Gallo
Negli uffici della GSGV, invece, nel fine settimana successivo all’attacco c’era grande fermento: l’organizzazione aveva deciso di ricostruire l’intera infrastruttura IT e di ripristinare i dati dai backup ancora disponibili. «Per fortuna avevamo le fatture dei debitori in sospeso su cartaceo», ricorda Keller. «Questo ci ha permesso almeno di tenere traccia degli arretrati.» Va da sé che il lavoro di ripristino ha comportato un enorme dispendio di risorse umane e finanziarie.
Adozione di misure aggiuntive
L’ufficio amministrativo non si è però limitato a un nuovo impianto infrastrutturale. «Abbiamo investito in un secondo backup fisicamente separato e in un firewall migliorato», dichiara Keller. «Poiché non disponiamo delle competenze informatiche necessarie, abbiamo valutato e dato priorità alle misure più adeguate insieme al nostro partner IT.»
La GSGV si è data da fare anche per sensibilizzare i propri collaboratori. Dopo avere seguito un apposito awareness training, oggi i collaboratori segnalano le e-mail sospette al partner IT, che ne verifica il contenuto. E anche se le proposte di miglioramento provengono principalmente dal partner IT, Keller è consapevole che la responsabilità delle operazioni aziendali e quindi anche della sicurezza IT spetta alla direzione: «È vero che abbiamo un partner IT che propone e attua misure, ma la responsabilità rimane la nostra.» Anche in stewards.ch si è verificato un cambio di prospettiva, come afferma Muggli: «Ci siamo resi conto che anche i «piccoli» possono risultare interessanti per i criminali informatici. E dobbiamo evitare di diventare una preda facile».
«Non basta non attirare l’attenzione per stare al sicuro.»
Remo Muggli, direttore di stewards.ch
L’agenzia di reclutamento ha pertanto adottato ulteriori misure di sicurezza in seguito all’accaduto. «Abbiamo adeguato diversi processi», spiega Muggli. «E ci siamo orientati alle disposizioni di sicurezza dei grandi fornitori di servizi IT, in modo da poter definire misure adatte a noi.» Nell’ambito dei nuovi provvedimenti, l’azienda ha, ad esempio, bloccato o quantomeno reso difficile l’accesso dall’estero con il geofencing. Inoltre, grazie un penetration test, è ora in grado di rilevare la presenza di ulteriori falle nella sicurezza.
Entrambi i dirigenti sono consapevoli del fatto che misure una tantum non bastano, in particolare quando si tratta di sensibilizzare i collaboratori, come afferma Muggli: «Si fa in fretta infatti a tornare alla vecchia routine.»
La cybersicurezza richiede un impegno costante
Entrambi sono consapevoli della necessità di rivedere regolarmente le misure di cybersicurezza adottate per prevenire futuri cyberattacchi. «Ho inserito un promemoria nel calendario, stabilendo così colloqui a cadenza regolare con i nostri fornitori e partner IT», afferma Muggli. «Non è troppo dispendioso, ma in via preventiva può contribuire molto alla protezione.»
La GSGV segue un approccio simile, come sottolinea Keller: «Verifico costantemente con il partner IT se le misure sono ancora efficaci o se invece è necessario apportare degli adeguamenti.» Questo modo di procedere sembra essersi rivelato utile. Finora, infatti, entrambe le organizzazioni non hanno registrato nessun altro cyberattacco riuscito.
Protezione completa per la vostra impresa
Semplicemente tutti e tutto, ovunque e sempre al sicuro con beem: navigazione sicura su beemNet, accesso sicuro ai dati aziendali, difesa da cyberattacchi complessi e protezione completa dalle fuoriuscite di dati.
Consigli alle PMI per proteggersi dagli cyberattacchi
Sulla base delle esperienze maturate nell’ambito degli incidenti informatici, Felix Keller e Remo Muggli desiderano condividere con le altre PMI le seguenti raccomandazioni operative non esaustive. Dopotutto, adottare misure di protezione adeguate in via preventiva può senza dubbio contribuire a scongiurare gli attacchi informatici:
- Aggiornamento regolare e tempestivo dei sistemi operativi, ma anche delle apparecchiature di rete come le stampanti
- Sensibilizzazione dei collaboratori mediante misure di awareness e il supporto da parte dell’IT
- Controllo dei sistemi da parte di esperti, ad esempio per mezzo di un assessment (valutazione della situazione) o di un penetration test (attacco simulato su incarico).
- Verifica attiva delle opzioni di sicurezza per l’hosting, come misure di protezione efficaci o i termini di conservazione dei file di log
- Notifica alla polizia in caso di attacco informatico andato a buon fine
- Definizione di canali di comunicazione alternativi per interagire con il Consiglio d’amministrazione e i collaboratori, oltre che creazione di un indirizzo e-mail neutro (privo di riferimenti all’azienda e al suo nome) per eventuali interazioni con i ricattatori
