Nella notte tra il 4 e il 5 maggio 2017 un sito internet riconducibile alla Symantec ha subito un attacco hacker.
Nulla di straordinario mi dirai, in effetti di notizie simili ce ne sono ormai a decine quasi ogni giorno.
Qual è la novità che rende invece straordinaria questa news?
Devi sapere che Symantec è il leader mondiale nella produzione di antivirus per sistemi informatici.
Symantec sta agli antivirus come la Nutella sta alla crema di nocciole.
Capirai quindi che per un produttore di antivirus essere colpiti da un virus non è una bella pubblicità.
Ciò che a te deve interessare non è naturalmente l’effetto economico o reputazionale che l’azienda ha subito in seguito a questo attacco.
La notizia dimostra come nessuno sia ormai al riparo dagli attacchi informatici se persino il più grande produttore di antivirus è stato colpito con successo pur senza provocare gravi danni.
La sicurezza informatica è diventata una primaria necessità.
Il settore pubblico rimane uno dei più esposti per le milioni di informazioni e dati che gestisce
Nel 2017 la Polizia Postale ha rilevato 28.522 allarmi hacker scattati in Italia contro obiettivi di interesse strategico nazionale.
Cinque volte quelli rilevati nel 2016.
Ben 1006 di questi 28.522 allarmi si sono trasformati in veri e propri attacchi.
Nel frattempo il Ntt Security Global Threat Intelligence Report 2017 rileva come nel mondo siano raddoppiati gli attacchi contro le pubbliche amministrazioni.
E’ per questo che la normativa sulle misure minime di sicurezza emanata da Agid è sempre più stringente.
L’ambiente in cui svolgi il tuo lavoro DEVE essere sicuro
Significa che devi garantire la MASSIMA protezione dei dati trattati.
Ogni giorno lavori con dati sensibili, crei e consulti atti ufficiali che hanno valore giuridico, operi con dati finanziari, gestisci istanze e documenti degli utenti.
Cosa accadrebbe se tutto questo venisse violato o addirittura sottratto con un atto criminale?
Ne saresti responsabile e rischieresti sanzioni amministrative e penali.
Nel passaggio al digitale devi quindi accertarti che i dati trattati siano protetti così come fai ora con i faldoni cartacei mettendoli sotto chiave in archivio.
Devi creare degli archivi digitali muniti di sistemi di sicurezza e custodirne le chiavi di accesso con cura, in modo che il tuo ambiente di lavoro non venga violato.
E’ sufficiente quindi iniettare il giusto antivirus ai sistemi informatici e proteggere tutto con “password” ultra-sicure per essere immune da ogni rischio?
Nì!
… e ciò che è successo a Symantec lo dimostra.
C’è un fattore di rischio molto importante che viene spesso sottovalutato o addirittura nemmeno preso in considerazione: quello UMANO
In un settore come la sicurezza IT, spesso l’anello debole della catena di sicurezza è proprio questo.
Aggiungi alla miscela il fatto che l’età media dei dipendenti della P.A. supera ormai i 50 anni e che una nutrita fetta di personale possiede competenze minime o addirittura insufficienti in ambito IT e sicurezza, e ottieni un composto molto infiammabile.
Per questi motivi la tua attenzione dovrebbe essere massima.
Non dare il giusto peso a questa variabile potrebbe rivelarsi un errore gravissimo per te.
Come risolvere?
Tranquillo, non sarai costretto a ringiovanire il tuo staff.
Nemmeno se questo ti fosse concesso.
Ancora una volta il segreto per risolvere questo problema non si cela dietro a sofisticati software o codici segreti che da domani mattina dovrai far creare.
E’ molto più semplice.
La soluzione prevede due momenti:
- La creazione di processi e regole chiare all’interno del tuo Ente
- Il monitoraggio delle attività
L’adeguamento alla normativa sulle misure minime di sicurezza Ict non è il punto di arrivo.
Non è sufficiente mettere “tutto a norma” per ripararti da ogni rischio
Devi avere un sistema che ti consenta di monitorare nel tempo tutte le attività all’interno del tuo Ente per prevenire ogni rischio.
Da dove partire?
E’ la stessa Agid che ha predisposto un insieme ordinato di controlli e di azioni sia di natura tecnica che organizzativa che dovrai mettere in atto.
Sono un riferimento molto pratico per innalzare il livello di sicurezza informatica del tuo Ente.
Non è questa naturalmente la sede per entrare nei dettagli.
Devi però sapere che tutte le indicazioni di Agid vengono raggruppate in tre livelli di sicurezza:
- MINIMO: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme
- STANDARD: è la base di riferimento nella maggior parte delle P.A.
- AVANZATO: deve essere adottato dalle organizzazioni maggiormente esposte ai rischi (pensa ad esempio al Ministero della Difesa) ma deve essere visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni
Quello che devi fare inizialmente è creare regole e processi chiari per il primo livello.
Non devi partire dal livello avanzato.
Non puoi partecipare alla maratona senza passare dalla mezza-maratona.
Quando i processi del livello minimo saranno automatici e ormai chiari ed assimilati da tutto il tuo staff, inizierai ad ampliare le procedure per portare il tuo Ente al livello successivo.
Come vedi non si tratta di iniettare semplicemente un antivirus nei tuoi sistemi informatici.
Ogni fase della digitalizzazione, inclusa l’installazione delle misure minime di sicurezza Ict, passa attraverso la creazione di processi che devono essere, in modo graduale, assimilati da tutto il tuo staff.
Se i processi sono chiari, allora anche il monitoraggio e l’implementazione delle attività nel tempo sarà molto più semplice e veloce.
Un pilota di aereo che esegue scrupolosamente la “check-list” prima di partire riduce al minimo la possibilità di errore
E soprattutto la cosa tranquillizza anche i passeggeri.
La creazione dei processi e il monitoraggio ti consentiranno quindi di:
- avere la certezza che nel corso del tempo il tuo ambiente di lavoro continui a rimanere protetto e sicuro
- rilevare in tempo reale se c’è qualche problema che può compromettere la sicurezza
- intervenire velocemente nel caso in cui si presenti una “falla” nei sistemi
- ridurre al minimo il rischio di errore umano
Non puoi pensare che la sicurezza dei tuoi dati sia garantita solo da una serie di accorgimenti tecnici.
E’ di primaria importanza che tu capisca quali sono i giusti comportamenti da tenere nello svolgimento del lavoro quotidiano e anche la giusta organizzazione da dare alla struttura.
Questo non lo può fare nessuna macchina, nessuna dotazione hardware e nessun software da installare.
Un sistema organizzato e monitorato è l’antivirus più potente che esista ed è il primo che devi installare nel tuo Ente.