La situazione di particolare emergenza sanitaria ha costretto moltissimi lavoratori a operare da casa propria accedendo in remoto ai sistemi della propria azienda. Questo scenario apre la strada a specifici attacchi di cyber criminali senza scrupoli e, quindi, a maggiori rischi di interruzioni dell’operatività aziendale e di divulgazione non autorizzata di informazioni aziendali riservate o di dati personali, con conseguenze potenzialmente disastrose. Con l’obiettivo di aiutare lavoratori e aziende, ho pensato di rappresentare le principali misure di sicurezza da adottare a casa e in azienda per contrastare efficacemente le minacce di questo scenario, riducendo i rischi per il business delle aziende e l’economia nazionale.

L’epidemia da Coronavirus “COVID-19” ha generato in pochissimo tempo l’esplosione dello smart working per le aziende che possono spostare l’esecuzione di processi aziendali nelle case dei lavoratori. Senza dubbio una grande comodità per i dipendenti e i collaboratori esterni, che possono continuare a lavorare nonostante l’isolamento, senza perdere giorni di ferie o rischiare la cassa integrazione. Ma anche una possibilità per le aziende di sopravvivere a una crisi generale che non ha ancora una scadenza. Tuttavia il lavoro da casa non può prescindere dal rispetto delle misure minime di sicurezza, soprattutto a fronte dell’aumento delle campagne di attacchi informatici che sfruttano proprio l’emergenza per mettere a rischio le informazioni aziendale riservate, i dati personali, la continuità del business, le identità digitali e il denaro della gente.

I nuovi attacchi informatici

Campagne mirate di attacco informatico sono state indirizzate ai settori sanitario, manifatturiero e farmaceutico, nonché ai servizi sanitari pubblici, con attività di phishing per il furto di credenziali d’accesso attraverso link malevoli a pagine Internet contraffatte e allegati infetti da malware, utilizzando come esca il Coronavirus. I messaggi più utilizzati invitano gli utenti a supportare la ricerca di una cura per il COVID-19, offrono alle aziende sanitarie cure innovative per combattere il virus o forniscono false guide con indicazioni di protezione per famiglie e amici. Ma attenzione anche alle app di dubbia provenienza che promettono di fornire notizie aggiornate in tempo reale sull’emergenza e invece installano un malware che blocca lo smartphone delle vittime chiedendo un riscatto per evitare la cancellazione dell’intera memoria del dispositivo. App di questo genere stanno nascendo come funghi negli store. Così malware come Redline Stealer, Ursnif e CovidLock vengono diffusi e numerose credenziali d’accesso vengono sottratte sfruttando lo stato di emergenza delle aziende e la paura delle persone.

Al tempo stesso vengono prese di mira le aziende che hanno attivato lo smart working, in particolare con attacchi di tipo Distributed Denial-of-Service (DDoS) per saturare e interrompere l’operatività degli accessi Internet e dei sistemi di accesso tramite VPN alla rete aziendale per poter lavorare in remoto. Lo scenario di particolare emergenza richiede l’adozione di apposite misure di sicurezza per proteggere aziende e lavoratori dalla sottrazione e dalla diffusione non autorizzata di dati, nonché dall’interruzione dei processi aziendali critici.

Quali rischi per le aziende?

Leggi e regolamentazioni non vanno in quarantena a causa dell’emergenza in atto, pertanto una qualsiasi diffusione non autorizzata di dati personali comporta una violazione del Regolamento Europeo GDPR con possibili pesanti sanzioni (per le violazioni più gravi la sanzione è prevista dall’art. 83 paragrafo 5 ed è quantificata in 20 milioni di euro, oppure nel 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e in riferimento al fatturato totale del gruppo).

Contestualmente, l’azienda è soggetta a maggiori rischi di diffusione non autorizzata di dati aziendali riservati e segreti industriali, a violazione informatica dei sistemi e a frodi di vario genere. Subire una fuga di dati e, di conseguenza, una perdita di vantaggio commerciale o di posizioni di mercato, l’interruzione di contratti commerciali e l’aumento di reclami e perdite finanziarie dirette, così come sperimentare l’arresto totale dei servizi di comunicazione e, quindi, dei processi aziendali, può rappresentare la differenza fra sopravvivere in qualche modo alla situazione di emergenza e soccombere miseramente.

Ecco quindi una serie di suggerimenti per affrontare questa particolare situazione al meglio, rafforzando le misure di sicurezza sia dell’azienda in sé, sia del nuovo perimetro allargato alle residenze dei dipendenti e dei collaboratori che accedono ai sistemi e ai dati aziendali da remoto.

Misure di sicurezza per i lavoratori in smart working

Nei casi migliori il lavoratore da casa dispone di un computer portatile aziendale e di un accesso VPN dedicato, magari con autenticazione forte a più fattori. Ma in molti casi l’accesso da casa avviene con computer di proprietà del dipendente e con l’accesso Internet di casa, molto spesso via Wi-Fi.

Nel caso in cui il computer sia aziendale, si dà per scontato che la dotazione di sicurezza sia già adeguata, mentre se il computer è di proprietà del lavoratore, allora è necessario assicurarsi che questo sia in linea con la dotazione minima di sicurezza richiesta dall’azienda. In quest’ultimo caso è bene adottare quanto segue:

• Sistema operativo: aggiornare il sistema operativo con tutti gli aggiornamenti di sistema e applicativi mancanti per portarlo all’ultima versione disponibile (nel caso di Microsoft Windows 10, l’ultima versione disponibile al momento è la 1909). Se si è in grado (in caso chiedere a qualche esperto o a Google), attivare la protezione con password dell’avviamento del computer nel BIOS in modo da impedire un avviamento non autorizzato del sistema operativo.

• Antivirus: installare un antivirus di qualità e attivarne l’aggiornamento automatico affinché sia sempre allineato all’ultimo aggiornamento disponibile. Fra i migliori antivirus gratuiti posso consigliare Avira, Avast e BitDefender, con quest’ultimo da me preferito in quando privo di noiosi popup pubblicitari ma forse un po’ meno intuitivo da configurare e gestire. In ogni caso è meglio adottare una versione pro/premium dell’antivirus attivandone la licenza a pagamento per poter beneficiare di tutte le funzionalità di protezione.

• Antimalware: oltre all’antivirus, installare un software di controllo antimalware per effettuare scansioni approfondite del sistema alla ricerca di qualsiasi segnale della presenza di malware. Personalmente, per esperienza diretta, consiglio di adottare MalwareBytes.

• Utente: non utilizzare mai l’utente amministratore del computer per lavorare, al fine di evitare che qualora un malware passi il controllo dell’antivirus abbia pieno potere di agire sul sistema operativo e sui dati. Creare quindi un utente standard (non amministratore), possibilmente locale (non collegato a un account Microsoft), e utilizzare sempre questo utente per l’operatività ordinaria.

• Dati aziendali: conservare i documenti aziendali in una cartella specifica del sistema operativo, meglio se su un dispositivo esterno (chiavetta o disco USB) e meglio se cifrata per proteggerne l’accesso da utenti non autorizzati. La cifratura è semplice da attuare e non incide granché sulle prestazioni.

• Backup: lavorando da casa con un computer personale, non sarà possibile usufruire di alcun sistema di backup dei documenti e dei dati gestiti, pertanto è bene adottare pratiche di backup per garantirsi una copia dei dati su altro supporto dal quale recuperarli in caso di perdita o danneggiamento a fronte di guasti hardware o di infezioni di malware. Se non avete un software di backup automatizzato consiglio di utilizzare il collaudatissimo Cobian Backup, ovviamente gratuito, molto semplice da configurare e, oserei dire, infallibile.

Di seguito, le misure da adottare in ogni caso, sia che si abbia un computer aziendale sia che si stia usando un dispositivo personale:

• Firewall: attivare le funzionalità di firewall del proprio modem di accesso a Internet (in ADSL o fibra), se ne utilizziamo uno, facendo riferimento al manuale d’istruzioni del proprio modello. Se, invece, utilizziamo un collegamento da rete cellulare (3G, 4G o 5G) con apposito router o utilizzando uno smartphone come hotspot, allora è bene installare sul computer un software di personal firewall (o attivare l’analoga funzione del nostro antivirus, se disponibile) per proteggere al meglio l’accesso al sistema informativo. Come personal firewall gratuiti consiglio Comodo, ZoneAlarm, Tinywall, GlassWire o Agnitum Outpost, ma meglio spendere qualcosa per acquistare la licenza e godere di funzionalità complete.

• Invio e ricezione di dati: usare esclusivamente canali aziendali protetti e controllati (posta elettronica aziendale, servizi di cloud storage autorizzati, cartelle di rete condivise via VPN, ecc.) per scambiare dati e documenti. Mai utilizzare posta elettronica personale come Gmail o servizi di cloud storage personali come Google Drive, e mai inviare dati o informazioni aziendali usando servizi di instant messaging non aziendali come WhatsApp.

• Credenziali d’accesso: le credenziali d’accesso vanno sempre considerate strettamente personali, anche nei confronti dei famigliari. Lavorando da casa è molto più facile che si tenda ad attuare una gestione “meno professionale” di password, PIN e codici segreti, magari annotandoli su agende o fogli provvisori man mano che vengono modificati o rinnovati. Consiglio di adottare password robuste e ricorrere da subito a un software di password management che consente di archiviare e gestire nel tempo tutte le proprie credenziali (non solo quelle aziendali) proteggendole crittografate con una sola password “master” molto robusta. Come password manager gratuito consiglio KeePass che personalmente uso da anni con grande soddisfazione.

• Phishing: porre la massima attenzione ai messaggi email sospetti, poiché potrebbero essere email di phishing contraffatte ad arte per indurre i destinatari a cliccare su un link malevolo o a scaricare e aprire allegati infetti. Consiglio di fare riferimento alle linee guida di sicurezza della propria azienda e, in assenza di esse, di non aprire messaggi sospetti, non attesi o non sollecitati, né scaricare allegati di dubbia natura e provenienza. Nel dubbio, prima di aprire un qualsiasi allegato, inviarlo a un servizio di sandbox online come VirusTotal per verificare l’eventuale presenza di malware. Attenzione particolare va posta, in questo periodo, a email apparentemente provenienti dalla propria azienda.

• Wi-Fi: nel caso si utilizzi un collegamento wireless per accedere a Internet da casa, modificare la configurazione del modem-router di accesso attivando la crittografia WPA2 con una nuova password (PSK) lunga almeno 24 caratteri con maiuscole, minuscole, numeri e qualche carattere speciale (l’uso di una password così lunga e complessa riduce le possibilità di violazione della rete Wi-Fi come spiego in questo mio articolo). Inoltre, molto importante, attivare la funzionalità di “Wi-Fi isolation” per impedire che altri dispositivi eventualmente connessi alla stessa rete possano tentare di accedere al computer che si sta usando per lavorare da casa.

• Internet: valutare la capacità del proprio collegamento a Internet di reggere alla situazione contingente (la VPN richiede comunque maggiori risorse rispetto a un normale uso della banda trasmissiva), soprattutto se si lavora da casa insieme alla moglie e con i figli collegati in Skype o Zoom con i loro insegnanti e compagni di scuola (o, peggio, a Netflix e YouTube). Se si sperimentano frequenti rallentamenti o disconnessioni, valutare di richiedere al proprio provider (TIM, Vodafone, Wind, ecc.) un ampliamento della banda trasmissiva o (per i collegamenti cellulari) un maggiore numero di gigabyte a disposizione, anche cambiando piano tariffario.

• Navigazione Web: sul computer che si usa per lavorare da casa, consultare solo fonti Web conosciute e accreditate per informarsi sulle evoluzioni dell’emergenza Coronavirus, poiché negli ultimi tempi stanno comparendo moltissimi siti Web contraffatti che, sotto l’apparenza di fonte di informazione, hanno l’obiettivo di indurre gli utenti a cliccare su link malevoli o scaricare malware sul proprio computer. Come già detto, attenzione anche alle app di recente rilascio e di dubbia provenienza.

• Antifurto: qualora si abiti da soli e si debba lasciare incustodita la propria abitazione per una delle motivazioni consentite dalle disposizioni governative in vigore, assicurare il computer che si usa per lavorare a una componente fissa della propria abitazione (una colonna, un tavolo pesante, ecc.) usando un kensington lock o chiuderlo in una cassaforte a chiave o a combinazione se disponibile in casa. Proteggere analogamente eventuali dispositivi esterni su cui sono salvati i dati aziendali. In caso di intrusione da parte di ladri, sarà più difficile per loro sottrarre i dispositivi nel poco tempo a disposizione.

Misure di sicurezza da attuare in azienda

L’azienda ha la principale responsabilità sul corretto utilizzo dei propri dati riservati e sul legittimo trattamento dei dati personali. Oltre a favorire l’adozione delle misure di sicurezza da parte dei dipendenti e collaboratori che operano da casa, è indispensabile adottare specifiche misure di sicurezza sui sistemi aziendali. Ecco le principali:

• Politiche e linee guida di sicurezza: innanzitutto è indispensabile integrare tempestivamente le politiche aziendali di sicurezza con tutte le disposizioni e le linee guida necessarie a gestire la situazione di particolare emergenza e il lavoro da casa con la massima sicurezza possibile, facendo riferimento anche agli aspetti logistici e alle leggi e alle regolamentazioni applicabili al contesto. Integrare, se necessario, specifiche disposizioni in merito alla protezione dei dati aziendali riservati e dei dati personali, comprese misure di prevenzione della diffusione non autorizzata di dati e informazioni.

• Campagna di policy enforcement e awareness: avviare una campagna informativa per l’illustrazione e l’imposizione al personale delle politiche aziendali di sicurezza e, preferibilmente, anche una campagna di sensibilizzazione e consapevolezza sui rischi del contesto di emergenza e sui migliori comportamenti da adottare per prevenire fughe di dati e incidenti di sicurezza. Le campagne dovranno interessare tutti i dipendenti, compresi manager e top manager che più di altri gestiscono e scambiano informazioni aziendali particolarmente riservate. Ai fini delle campagne, è bene considerare tutte le misure di sicurezza che ho già indicato per i lavoratori da casa.

• Accessi Internet e VPN: con milioni di lavoratori che operano da casa, gli accessi Internet e VPN sono diventati cruciali e gli attacchi indirizzati a questi elementi sono in aumento in tutto il mondo. Pertanto, è urgente prendere in considerazione il potenziamento dei sistemi di accesso a Internet e dei terminatori VPN, per adattarli tempestivamente alle maggiori esigenze di connettività e capacità di accesso.

• Protezioni anti-DDoS e verifiche di sicurezza: oltre alla capacità di banda trasmissiva, verificare con i propri fornitori di accesso la possibilità di attivare e potenziare i sistemi di protezione anti-DDoS per contrastare al meglio eventuali attacchi Distributed Denial-of-Service indirizzati a interrompere il funzionamento del canale Internet o dei terminatori VPN. Consiglio anche di richiedere una verifica di sicurezza (vulnerability assessment e/o penetration test) sulla configurazione e la resilienza dei sistemi di accesso da remoto, per rilevarne eventuali vulnerabilità ed esposizioni di sicurezza. Se il numero di dipendenti e collaboratori lo consente, adottare strumenti di filtro dei collegamenti VPN in modalità “white list” per lasciare fuori tutti i tentativi indesiderati. In questo periodo è bene aumentare il presidio di controllo e il monitoraggio di sicurezza dei sistemi di accesso da remoto.

• Sistemi di comunicazione e collaborazione: analogamente, è bene verificare la sicurezza dei sistemi di comunicazione e collaborazione (es. Skype, Microsoft Teams, Zoom, Google Hangouts, ecc.) e dei sistemi di controllo remoto e virtualizzazione (es. Teamviewer) utilizzati per operare da casa.

• Strong authentication: ove possibile, è bene adottare la strong authentication multi-fattore per proteggere gli accessi remoti, utilizzando elementi aggiunti di autenticazione come l’invio di un codice di sicurezza via SMS o via push su app di autenticazione (es. Microsoft Authenticator), nonché sistemi biometrici di verifica dell’identità.

• Posta elettronica: adottare sistemi di analisi dei messaggi di posta elettronica con motori di anti-impersonificazione (es. DMARC) per bloccare gli attacchi di tipo BEC (Business Email Compromise).

• DLP: ottimo complemento alle misure già indicate è rappresentato dall’adozione di strumenti aziendali di Data Loss Prevention (DLP) che forniscano nativamente la cifratura e il controllo centralizzato dei dati riservati per impedirne la divulgazione non autorizzata.

• Office automation: prevedere la possibilità di concedere ai dipendenti una licenza d’uso (anche temporanea) per l’utilizzo della suite di office automation e di altri eventuali software utilizzati in azienda, al fine di mantenere la piena compatibilità e operatività con i documenti aziendali. Non è detto, infatti, che tutti abbiano sui propri computer la medesima dotazione software richiesta per operare nell’ambito aziendale. Evitare come la peste qualsiasi servizio online di visualizzazione o modifica di documenti che non sia autorizzato dall’azienda: caricare documenti aziendali su piattaforme di terze parti senza autorizzazione non è mai una buona idea.

Uscire indenni (in senso informatico e di business) dalla situazione di emergenza che stiamo vivendo richiede un’azione combinata fra aziende e lavoratori, con l’impegno di tutti a migliorare le misure di protezione e adottare i migliori comportamenti preventivi di sicurezza.

Ringrazio in anticipo chiunque vorrà fornire ulteriori suggerimenti pratici per aumentare la sicurezza del lavoro da casa, indicandoli qui nei commenti o inviandoli via email, affinché ne possa valutare l’inserimento nell’articolo.

Ce la faremo.

Ettore Guarnaccia