Le piccole e medie aziende hanno bisogno di colmare rapidamente il gap tra i budget contenuti, i rischi crescenti per la sicurezza e i vincoli normativi
Negli ultimi anni, si sono verificati tre fenomeni che concorrono a rendere di difficile soluzione il tema della sicurezza delle informazioni nelle piccole e medie aziende. Da un lato gli attacchi sono diventati più sofisticati, più semplici da eseguire e molto più difficili da contrastare. Il fenomeno del ransomware è indicativo della situazione: la sua semplice esistenza testimonia l’inadeguatezza dei meccanismi difensivi in uso. L’attacco entra senza essere rilevato in azienda, va in esecuzione senza che i sistemi difensivi per endpoint (antivirus, personal firewall…) lo riconoscano. I dati vengono cifrati, e da lì a poco arriva la richiesta di riscatto. Sistemi di pagamento anonimi e non tracciabili (bitcoin…) rendono facile il riciclaggio dei riscatti. Per chi abbia difficoltà nel pagamento in bitcoin esistono help online, e addirittura chat: un eccellente “customer service” che testimonia l’esistenza di un vero e proprio distretto industriale della delinquenza informatica.
Nel caso del ransomware, il successo dell’attacco è legato alla sua emersione, alla richiesta del riscatto. Per attacchi che utilizzino le stesse tecniche evasive, ma con lo scopo di rubare informazioni aziendali delicate (anagrafica clienti, dati di progetto per nuovi prodotti, business plan per nuove iniziative…) non c’è nessuna richiesta di denaro a rendere esplicita la violazione: il furto di informazioni può proseguire per settimane, o mesi. Sul secondo versante, il GDPR è il riassunto delle buone pratiche che ogni azienda dovrebbe adottare. Requisiti lasciati alla valutazione di chi gestisce i dati, nessun obbligo esplicito in fatto di contromisure, tutto associato alla responsabile valutazione delle aziende. Sanzioni molto rilevanti per chi non ha adottato le misure adeguate a impedire l’incidente. E questo porta al terzo elemento di fragilità.
Negli anni della crisi, l’informatica aziendale è stata una delle vittime privilegiate delle difficoltà. Le aziende hanno ridotto i costi non immediatamente associati ai ricavi. E l’informatica ha pagato un prezzo pesante. Nelle piccole e medie aziende l’informatica è stata ridotta al minimo vitale. La crisi è passata (forse), il GDPR è arrivato, gli attacchi continuano a evolvere, ed è difficile pronosticare un cambiamento rapido nelle risorse umane dedicate alla sicurezza delle informazioni. Le piccole e medie aziende hanno bisogno di colmare rapidamente il gap tra risorse disponibili, rischi per la sicurezza e normative. Nella formulazione del GDPR si parla del DPO, il data protection officer, un professionista che, obbligatoriamente nelle aziende più grandi e nelle pubbliche amministrazioni, esercita il ruolo del consulente super partes. Per le aziende di cui parliamo, piccole e medie, una o due giornate al mese possono probabilmente bastare a un professionista qualificato per impostare un piano per la sicurezza.
Un piano di questo tipo deve necessariamente prevedere soluzioni a basso costo anche per la gestione delle tecnologie. Con l’approccio Managed Security Services, a mano a mano che le tecnologie in uso, obsolete, verranno rimpiazzate, la sostituzione potrà avvenire con un fornitore che, a fronte di un canone periodico, rende disponibili licenze, implementazione, formazione degli utenti, gestione dei sistemi e adeguamenti alle mutevoli esigenze aziendali. La domanda per questi servizi è ancora molto bassa. L’offerta tende a privilegiare l’approccio “un tanto al chilo”. Gli ambiti coperti sono i più semplici e consolidati (e spesso basati su approcci tecnologici e metodologici superati). Ma tutto questo può rappresentare la chiave di volta per rendere disponibili alle PMI le tecnologie indispensabili, oggi gestibili (e con un po’ di fatica) solo dalle grandi organizzazioni.
Paolo Da Ros, membro del Comitato Scientifico Clusit