Page 31 - Cyber-attacchi: truffe e minacce informatiche
P. 31
F
F METODOLOGIE DI DIFESA E TECNICHE DI PREVENZIONE
I cyber attacchi che fanno uso della posta elettronica quale strumento per
perpetrare truff e potrebbero essere diffi cili da prevenire e rilevare, soprattutto se
costruiti con cura, senza errori vistosi, come lo sono tanto nel caso del Phishing
quanto in quello delle Business E-mail Compromise. Le diffi coltà, è stato visto, ma
è meglio ribadirlo anche in questa sede, sono numerose e trovano riscontro in una
molteplicità di cause e con-cause: fattori di vulnerabilità umana che puntano sulle
tecniche di social engineering, che mettono in evidenza mail sempre più professio-
nali e convincenti; mancato riconoscimento di tentativi di attacchi malevoli da parte
di spyware e antivirus; elevata debolezza del protocollo di posta elettronica SMTP
basato sul riconoscimento del nome del mittente e che quindi non consentono ai
principali client di posta elettronica di capire se, quello che viene posto in essere, è
davvero un cyber attacco. Il motivo è dato dalla mancata adozione di riscontri og-
gettivi e semplici accortezze da parte degli utenti; moventi quest’ultimi che possono
tradursi in un eff etto concatenante: furto d’identità - trasferimenti di denaro - danni
di vasta portata per l’intera organizzazione.
Pur essendo impossibile adottare misure di sicurezza che garantiscano agli
utenti l’immunità assoluta dalle truff e, analogiche o informatiche che siano, è ne-
cessario che ogni organizzazione, d’impresa e non, sia essa di rilevanti, medie o
piccole dimensioni, cerchi di defi nire una strategia organizzativa condivisa, a vari li-
velli, formalizzata preferibilmente mediante vere e proprie "Policy antiphishing" fi na-
lizzate al raff orzamento del processo di sicurezza d’impresa, tanto aziendale quanto
del banking on line, alla gestione delle attività del proprio personale, alla gestione
dei rapporti con la clientela e delle emergenze legate a casi di phishing e pharming
in tutte le sue forme e connotazioni.
Quanto sopra rappresentato è esattamente in linea con quanto aff ermato anche
recentemente il 4 gennaio 2023, nel corso di un’intervista rilasciata al Presidente
del Clusit, dalla dott.ssa Nunzia Ciardi, Vice Direttore Generale dell’Agenzia per la
Cybersicurezza Nazionale (ACN) ente di diritto pubblico recentemente istituito con
compiti di resilienza e sicurezza in ambito informatico, secondo cui nel corso del
solo anno 2022 ci sono stati quasi tredicimila attacchi informatici contro infrastrut-
ture critiche del Paese, sistemi fi nanziari e aziende di settori strategici come comu-
nicazione e difesa. Pertanto, il Vice Direttore Generale, nel corso di un altro inter-
vento, ha ribadito che risulta e risulterà sempre più necessario entrare nell’ottica di
"convivere con il rischio cyber imparando a gestirlo" e risulta altrettanto essenziale
per tutti investire in sicurezza perchè solo così "...la sicurezza non è un costo, ma
diventa un investimento" (190).
In attesa di vedere quali saranno le ulteriori novità che i singoli Stati membri
imporranno alle società per l’adozione di misure tecniche, operative e organizzative
(190) Nel corso di un’intervista rilasciata alla testata online cybersecurity360 (tratta dal link https://www.
acn.gov.it/notizie) la dott.ssa Nunzia Ciardi, Vice Direttore Generale dell’Agenzia per la Cybersi-
curezza Nazionale (ACN), ha specifi cato che l’andamento attuale ha dimostrato sino ad ora che
"Le piccole e medie imprese (Pmi) non hanno sempre un indice di consapevolezza elevato nono-
stante il tema della cyber security stia piano piano emergendo nel dibattito pubblico, e spesso a
causa di fatti criminali. Viceversa, le grandi imprese hanno un discreto livello di consapevolezza
che non sempre si manifesta nella sua interezza". Inoltre la stessa ha proseguoto aff ermando che
"Le Pmi rappresentano il tessuto connettivo del paese e la compromissione dei loro asset digitali
può facilmente riverberarsi sulle grandi aziende di cui sono fornitori. È il famoso tema della supply
chain e dell’importanza di proteggerla. Quindi non basta avere soltanto le grandi aziende protet-
te, devono esserlo anche le piccole, e affi nché lo diventino devono capire la posta in gioco. A quel
punto sarà più facile capire che spendere in sicurezza non è solo un costo ma un investimento".
123
123
