Oggi proviamo a dare una risposta a questa domanda: caro phishing e cara cybersecurity, quanto costate per le aziende?
Per dare una risposta a questa domanda, parto da qui, cioè ricordandovi quello che è successo qualche mese fa quando i sistemi della Regione Lazio sono stati attaccati e messi in ginocchio da un attacco informatico che poteva essere prevenuto. Si perché se si è arrivati ad avere un problema informatico del genere, è perché qualcuno ha sottovalutato tutta una serie di rischi e non ha controllato con attenzione i vari processi.
Tutto questo ha causato un danno di immagine, un rallentamento nella prenotazione dei vaccini e allo stesso tempo anche la perdita di alcuni dati. Ma non perdiamo il tempo e andiamo per step, scoprendo insieme quanti soldi si potrebbero risparmiare se solo si facesse un pochino più di attenzione, ma soprattutto investendo nelle tecnologie adatte.
Cara cybersecurity quanto costi all’azienda?
Non solo tutto questo poteva essere prevenuto, ma addirittura ha un costo. Infatti, stando al report di Ibm Cost of a Data Breach 2020, ad oggi ogni violazione di dati, costa in media alle aziende a livello globale qualcosa come 3,86 milioni di dollari. Sono tanti o pochi? Non lo so, so solo che leggendo i numeri predenti nel Cost of a Data Breach 2020, condotto da Ponemon Institute per conto di IBM Security, in Italia il costo medio è di 2,90 milioni di euro. Direi che è molto preoccupante tutto ciò. Soprattutto quando si sa che questi soldi potrebbero essere risparmiati, ma non c’è la volontà di farlo.
Il report in questione si basa su un’analisi approfondita delle violazioni di dati subite da oltre 500 organizzazioni a livello mondiale e in varie aree continentali. All’interno del report troviamo anche 21 italiane. Nell’80% dei casi, la violazione principale è stata quella dei dati dei dipendenti. In parole spicce, questi attacchi informatici hanno portato all’esposizione di informazioni di identificazione del personale.

All’interno del report Cost of a Data Breach 2020 vengono messi a confronto gli ultimi due anni, cioè il 2020 e il 2019. Da questa tabella possiamo osservare come il costo medio di una violazione nel 2020 è di 3.19 milioni di dollari, qualche dollaro in meno rispetto all’anno precedente. È sorprendere vedere che il tempo medio per identificare e contenere un attacco informatico è di 268 giorni, contro i 283 giorni del 2019. Se da una parte questo può sembrare un ottimo risultato, in realtà non è così. È molto preoccupante sapere che ci vuole tutto questo tempo per identificare e contenere un attacco informatico che ha lo scopo di rubare i dati.
Diventa ancora più preoccupante se viene preso in considerazione il fatto che il furto e la compromissione delle credenziali di accesso ai servizi informatici aziendali, oltre alle configurazioni errate dei server cloud, rappresentano le vulnerabilità più comuni, che causano quasi il 40% dei cyberattacchi.
Nel report viene evidenziato che i criminali informatici hanno sfruttato proprio gli errori di configurazione dei server cloud per violare le reti nel 20% dei casi delle aziende prese in considerazione e sotto analisi, generando un aumento dei costi di oltre mezzo milione di dollari e portando a 4,41 milioni di dollari la spesa complessiva media. Insomma, affidarsi al cugino che è bravo con il computer oppure alle sole guide gratuite che si trovano in rete non è sempre la soluzione migliore. Se da una parte si risparmiano soldini, dall’altra parte non appena si subisce un attacco informatico tutto quello che è stato risparmiato viene speso per ripristinare il tutto e mettere in sicurezza i sistemi. Eppure basta così poco per mettersi al sicuro.
Caro phishing quanto costi all’azienda?
Quindi se da una parte sappiamo quello che è il costo della cyberscurity fatta male, vediamo una delle porte usate dai criminali informatici per entrare. Infatti, stato allo stesso report scopriamo che nel 2019 oltre 8.5 miliardi di record sono risultati vulnerabili e in 1 caso su 5 hanno sfruttato le e-mail per far breccia.
Per andare subito al sodo, almeno una volta alla settimana si ricevono email sospette o che chiaramente hanno un intento dannoso. Di solito queste mail hanno un titolo del tipo
- Abbiamo violato il tuo computer mentre stavi visitando un sito porno
- Abbiamo violato il tuo computer e abbiamo visto tutte le mail che hai scambiato con i tuoi contatti
- Abbiamo violato il tuo computer e ti denunceremo alla polizia postale
In realtà questa è una micro lista, visto che è molto variegata e a volte capita anche di essere presi di mira anche via social. Infatti capita sempre più spesso di essere menzionati in post da pseudo consulenti o pagine che hanno un nome affine all’assistenza offerta dal social in cui ci si trova.
In poche parole, i criminali informatici, hanno imparato ad imitare fino al minimo dettaglio l’immagine, colori, feel e addirittura tono delle email che che vengono inviate da altre aziende (banche, assistenza social, etc), facendo sì che sia veramente difficile distinguerli da un messaggio della legittima fonte. È quindi diventa facile cascarci. A volte sono così bravi che persino anche il sottoscritto ci stava per cascare qualche settimana fa.
Non sono poche le aziende che soffrono di questi problemi, non a caso alcune delle vittime più abituali, perché il numero dei potenziali clienti è molto ampio e quindi le probabilità che qualcuno “ci creda” sono maggiori. Inoltre vengono utilizzate perché più facile far breccia sugli utenti, ma questo non significa che qualcuno non possa prendere di mira anche piccole realtà economiche.
Che cosa può fare un’aziende il cui nome e brand sono sfruttati dai phisher per truffare gli utenti?
Innanzitutto, comunicarlo.
Adesso qualcuno dirà: “grazie, graziella, grazie al… lo sapevo che bisogna comunicarlo“
Sì, lo so, ma la cosa più semplice e intelligente da fare è quella di prendere in mano il proprio sistema per inviare e-mail di massa e informare i propri clienti che qualcuno si è spacciato per la propria azienda chiedendo informazioni private.
All’interno della mail deve essere riportato il fatto che si è a conoscenza che qualcuno ha provato ad utilizzare la tecnica del phishing per richiedere informazioni sensibili. Sempre all’interno di questa mail va precisato e segnalato ai clienti di controllare l’indirizzo mail utilizzata dai criminali informatici per inviare la comunicazione.
Inoltre, cosa molto importante, bisogna avvertire tutti i clienti di non fidarsi dei messaggi in cui gli vengano richiesti dei dati personali, di scaricare determinati documenti etc., fornendo se è possibile guide su come distinguere il messaggio falso da uno veritiero. Per esempio: allegare uno screenshot con la mail fasulla e uno con la mail tipica vostra, mostrando le differenze. Inoltre, deve essere chiaro al cliente che nessuno dei dati che ha fornito all’azienda in passato è stato compromesso se così è. Altrimenti se l’azienda ha perso i dati, deve attenersi alle regole e comunicare quali dati sono stati violati e che cosa deve fare il cliente per aggiornare o modificare questi dati.
La comunicazione deve essere tempestiva, perché in questo modo farà percepire al cliente che è tutelato dall’azienda in questi casi e che questa pensa al suo bene.
Quindi questo tipo di attacco ha un costo per l’azienda?
SI.
Diversi studi dimostrano come questo tipo di attacco ha un impatto negativo sulla fiducia dell’utente nei confronti dell’azienda. Non solo l’utente è meno propenso ad aprire da quel momento in poi le email che riceverà da quel brand oppure archiviarla da subito nella cartella spam o la buttano direttamente all’interno del cestino.
Quindi, quello che deve fare l’azienda è quello di assicurarsi che coloro che si occupano di comunicare con i clienti di farlo nel modo giusto, adottando dei sistemi per identificare queste email fraudolente e, nel caso in cui l’azienda sia utilizzata come immagine per un attacco di phishing, comunicalo attraverso i tuoi canali (email, social network, etc) così da avvertire i clienti e, speriamo, evitare loro un bel guaio.
Conclusione
La cybersecurity e il phishing hanno un costo per l’azienda. A volte questi costi vengono sopportati solo quando il danno è stato fatto, mentre altre volte capita che nonostante tutto l’impegno messo per difendere i dati dei clienti o dei dipendenti qualcosa non funzioni e i criminali informatici riescono comunque ad arrivare a loro. Ecco perché è importante aggiornare costantemente tutti i sistemi interni all’azienda, configurare con curare i sistemi cloud utilizzati, fare dei corsi di formazione costante ai dipendenti sul come identificare una mail di phishing o altre minacce.
Prima di chiudere ti segnalo il mio canale Telegram, con altri contenuti dedicati al mondo del web e non solo. Invece se consideri che questi raccanti che metto nel mio diario siano interessanti e vuoi sostenerle, puoi offrire una birra media o un caffè qui.
Adesso aspetto i vostri commenti qui sotto.