Le minacce cyber non vanno in vacanza: i rischi per le aziende e gli utenti durante il periodo estivo

A cura di Sofia Scozzari

Le vacanze sono un momento di relax molto atteso.

Tuttavia, i criminali informatici non vanno mai in vacanza e sanno di poter contare sul fatto che si tende ad abbassare la guardia durante i periodi di riposo.

Inoltre, viaggiando e facendo maggiore uso di dispositivi mobili, i rischi cyber aumentano, sia per gli utenti che per le aziende.

In questo panorama digitale sempre più complesso, la stagione estiva rappresenta quindi un momento pericoloso dal punto di vista della Cyber Security.

Vediamo quindi le minacce che mettono più a rischio l’azienda durante le vacanze e qualche suggerimento utile per rimediare.

In che modo le vacanze possono rappresentare un rischio per le aziende

I criminali informatici approfittano dei periodi di vacanza in cui le protezioni aziendali sono meno attrezzate, sia per mancanza di personale che per una diminuzione nella vigilanza degli utenti.

Per lo stesso motivo il tempo di rilevamento e di risposta alle minacce informatiche potrebbe aumentare, con ulteriori conseguenze soprattutto se la problematica entra in azienda a causa di un dipendente in vacanza poco accorto.

Infatti, un utente in vacanza con dispositivi aziendali o che accede a risorse aziendali da remoto (e vale anche per il controllo della posta dallo smartphone) può mettere a repentaglio non solo i suoi dati ma anche quelli del datore di lavoro.

Le principali minacce per le aziende:

Accesso a sistemi aziendali da reti Wi-Fi non protette: anche durante i periodi di relax può presentarsi l’esigenza di controllare le email o accedere ai sistemi aziendali. A questo scopo spesso l’opzione più semplice è quella di utilizzare reti Wi-Fi non protette messe a disposizione da hotel, caffè, aeroporti, stazioni o luoghi turistici. Questo però può mettere a rischio le risorse aziendali: tramite queste connessioni poco sicure i criminali informatici possono infatti intercettare il traffico dati e rubare informazioni sensibili o installare malware e applicazioni indesiderate sui dispositivi.

  • Uso di dispositivi pubblici: utilizzare un dispositivo pubblico necessita di particolare cautela e andrebbe evitato per l’accesso a risorse aziendali. Sul dispositivo potrebbe essere infatti installato un keylogger o un malware che consente di rubare credenziali di accesso.
  • BEC (Business Email Compromise) scam: questa problematica include tutti i messaggi di testo o e-mail (potenzialmente anche telefonate), che, mascherando la propria provenienza come una fonte affidabile (un superiore, un fornitore, ecc…), puntano ad ottenere informazioni riservate (ad esem io credenziali di accesso) o vantaggi economici (ad esempio il pagamento di una fattura con dati bancari contraffatti). Le BEC scam possono essere molto insidiose e comportare perdite anche molto importanti.
  • Smarrimento o furto di dispositivi: durante le vacanze, il rischio di smarrimento o furto di dispositivi, in particolare quelli mobili, come smartphone o tablet, ma anche computer portatili, aumenta. Questo comporta seri pericoli in quanto può permettere l’accesso ad informazioni riservate e sensibili, una problematica ancora più preoccupante quando si tratta di dispositivi aziendali o configurati per consentire l’accesso a risorse aziendali.
  • Esternalizzazione dei servizi: con parte del personale addetto alla sicurezza in vacanza, può capitare che i servizi vengano esternalizzati per garantire un’adeguata copertura. È fondamentale vigilare sui collaboratori esterni e ricordare che potrebbero non essere abituati alle politiche aziendali, mettendo potenzialmente a rischio l’azienda.
  • Phishing e truffe online: durante il periodo delle vacanze, aumenta il rischio di essere soggetti a phishing e truffe online, in particolare nel caso di promozioni di offerte di viaggi e sconti allettanti.

Alcuni suggerimenti utili

Dopo aver preso in considerazione le minacce che mettono a rischio l’azienda durante i periodi di relax, vediamo i suggerimenti che aiutano a mitigare questi rischi.

a) Prima di partire

  • Il primo consiglio è di selezionare attentamente i dispositivi da portare in vacanza, evitando tutto ciò che non si renderà strettamente necessario durante il viaggio, in particolare se si tratta di dispositivi aziendali.
  • I dispositivi selezionati vanno aggiornati con tutte le patch di sistema e gli update applicativi disponibili.
  • I dati sensibili che non sono strettamente necessari per il viaggio vanno rimossi, per limitare i danni in caso di furti o smarrimento dei device.
  • È buona norma eseguire il backup dei dati presenti sui dispositivi, in particolare quelli aziendali, per mettersi al sicuro dal rischio di danni o perdite.
  • Proteggere i dispositivi, sia aziendali che personali, con sistemi di autenticazione forte o accessi biometrici.
  • Tenersi aggiornati sulle ultime truffe aiuta a mantenere sempre alto il grado di allerta.

b) Durante le vacanze

  • Evitare di utilizzare reti Wi-Fi non sicure per attività sensibili, come l’accesso al conto bancario online o a sistemi aziendali, incluso il client di posta. In mancanza di alternative, il consiglio è di utilizzare una connessione VPN (Virtual Private Network) per cifrare il traffico dati e garantire una maggiore sicurezza.
  • È importante disattivare le connessioni automatiche Wi-Fi/Bluetooth per evitare di connettersi in automatico e limitare l’utilizzo di risorse pubbliche allo stretto necessario.
  • L’uso di dispositivi pubblici dovrebbe essere limitato esclusivamente a servizi che non richiedono alcuna autenticazione e strettamente non aziendali.
  • È bene differenziare l’utilizzo dei dispositivi: le risorse aziendali dovrebbero essere gestite solo con device aziendali, mentre quelli personali vanno utilizzati in tutti gli altri casi. Se si deve accedere ai sistemi aziendali o utilizzare dispositivi business, è necessario verificare ed installare eventuali aggiornamenti di sistema e applicativi prima di accedere alle risorse.
  • Utilizzare l’autenticazione a più fattori (MFA, Multi Factor Authentication) per accedere a risorse e servizi critici è una buona pratica per limitare il rischio di compromissioni.
  • Disattivare i servizi di localizzazione quando non sono in uso per evitare di esporre troppe informazioni.
  • Non installare software da fonti non verificate.
  • Non lasciare i dispositivi incustoditi o sbloccati in luoghi pubblici.
  • Non collegare i dispositivi alle stazioni di ricarica pubbliche, o, in alternativa, assicurarsi di utilizzare un cavo di sola ricarica che non trasmetta dati per evitare le possibilità di contrarre infezioni “informatiche”.
  • Attenzione ai QR code che potrebbero veicolare l’installazione di malware.
  • In particolare se si ricoprono ruoli importanti, è bene gestire la propria presenza online e gli aggiornamenti sui Social Media per evitare di fornire troppe informazioni che un cybercriminale potrebbe trovare utile per pianificare eventuali operazioni malevole. Un buon consiglio è sempre quello di non fornire dettagli troppo precisi sulla propria posizione.
  • Avvisare immediatamente l’azienda in caso di furti o smarrimenti di device aziendali o in caso di ulteriori problematiche che potrebbero mettere a repentaglio l’azienda.

c) Al ritorno dalle vacanze

  • Nel caso in cui ci si sia esposti a rischi, una buona norma è di cambiare password e PIN al rientro del viaggio.
  • Ispezionare i dispositivi dopo le vacanze, possibilmente prima di rientrare in azienda, per rilevare eventuali violazioni o problematiche, è una buona pratica che aiuta a mettersi al riparo dal rischio di diffondere malware involontariamente. In caso di necessità il reparto IT dell’azienda saprà certamente offrire i suggerimenti corretti per eseguire al meglio questo controllo.

Conclusioni:

Le vacanze sono un momento di relax, ma è importante non trascurare la Sicurezza Informatica.

Con alcune semplici precauzioni, è possibile ridurre notevolmente i rischi di Cyber Security a cui le aziende sono inevitabilmente esposte durante le vacanze, ricordando che best practices, consapevolezza e prudenza sono le priorità per proteggere non solo il business ma anche la privacy degli utenti.

Le Best Practices da seguire durante le vacanze devono essere definite e condivise con tutto il personale in modo che dipendenti e collaboratori siano preparati a prevenire e gestire eventuali problematiche.

Inoltre, la consapevolezza delle minacce e dei rischi, unita ad un atteggiamento sempre prudente, è essenziale: evitare di abbassare la guardia anche durante i momenti di relax, rappresenta un requisito fondamentale per assicurarsi vacanze più sicure.

Buone vacanze!