Ed è proprio per questo che siamo così vulnerabili agli attacchi informatici", afferma Jake Moore, Cybersecurity Specialist di ESET e white hat hacker con 14 anni di esperienza nella digital forensics e nelle indagini sui crimini informatici. Non gli manca mai la motivazione per esaminare e testare come le piccole imprese percepiscono e gestiscono la sicurezza informatica. Nella maggior parte dei casi, la risposta è: piuttosto carente.
Partiamo dall'altro lato. Dato che si cerca costantemente di rendere la vita degli hacker più difficile, per molti di loro bisogna essere un bersaglio molto attraente. Siete mai stati hackerati?
No, non sono stato hackerato. O almeno non credo. Ma qualcuno ha cercato di duplicare il mio account Instagram e ha iniziato a inviare messaggi a persone che, a quanto pare, ero io. Ma indovinate un po': una delle persone a cui l'aggressore ha inviato messaggi era un mio collega. E ha avuto una grande conversazione con quel ragazzo, prendendolo in giro, il che è stato esilarante. Ho tutti gli screenshot della conversazione. Anche se non sono mai stato vittima di un attacco informatico, penso sempre che potrei farlo. Faccio molta attenzione, sono cauto con i link su cui clicco, con gli allegati alle e-mail e così via.
Sembra un approccio del tipo "Spera nel meglio, aspettati il peggio".
Assolutamente sì. A volte mia moglie pensa che io sia piuttosto scortese al telefono, ma sono solo cauto con le chiamate non richieste e diffido dello scenario peggiore. Se solo un maggior numero di piccole imprese la pensasse così! Ma purtroppo tendono a pensare che non possa accadere loro nulla, il che è un po' assurdo. Tutti sono un bersaglio, dopotutto. Le piccole aziende a volte credono che i criminali informatici preferiscano prendersela con i grandi, ma in realtà è molto più facile hackerare 100 piccole imprese che un'unica grande azienda.
Per 14 anni ha lavorato per la polizia del Dorset, nel Regno Unito, specializzandosi in indagini sulla criminalità informatica. Si occupava anche di casi legati alle PMI?
Spesso mi capitava di entrare in contatto con molte ditte individuali e aziende con meno di 50 dipendenti. Nella maggior parte dei casi, non avevano idea di quanto fossero realmente vulnerabili. Spesso pensavano di non avere i soldi per implementare una soluzione di cybersecurity, anche se esistono modi economici o addirittura gratuiti per proteggere un'azienda. Quando ho dato loro consigli di base, come la raccomandazione di utilizzare l'autenticazione a due fattori, spesso mi hanno chiesto: "Cos'è? Sembra costoso". Stavano solo lasciando le finestre spalancate agli attacchi. Per molti di loro si trattava di un errore fatale.
Nel tuo recente articolo hai raccontato di come sei andato sotto copertura - mascherato da assistente produttore televisivo, Jack - per hackerare la rete di un lussuoso golf club. E ci sei riuscito; il personale ti ha persino lasciato da solo con i dispositivi aziendali, consentendoti potenzialmente di sfruttare l'intera rete. Cosa si sarebbe dovuto fare di diverso da parte loro?
In primo luogo, avrebbero dovuto chiedere un qualche tipo di documento di identità, soprattutto se stavo andando dietro al bancone, per così dire, per inserire una chiavetta USB nelle loro macchine. Questo è un divieto di base per la sicurezza. Ma dato che una settimana prima avevo visitato il golf club per presentarmi, dicendo quanto fosse bello il loro campo, cosa ovviamente molto lusinghiera per loro, pensavano di conoscermi già e di fidarsi di me. Inoltre, non mi aspettavo di vedere una macchina Windows XP (il sistema operativo XP non è più supportato dal 2014), che era addirittura collegata alla macchina del punto vendita. Un altro divieto. Tali macchine possono essere attaccate anche da remoto. I dispositivi avrebbero dovuto essere dotati del sistema operativo più recente. Molte piccole imprese fanno funzionare i loro dispositivi con sistemi obsoleti perché pensano che se non è rotto, non ha senso aggiustarlo, ma in realtà si tratta di un'enorme vulnerabilità. Questo golf club conserva enormi quantità di dati, per lo più di persone molto facoltose, e questi dati potrebbero potenzialmente valere più di un attacco finanziario. E quindi sono molto allettanti per gli hacker.
Alcune aziende si affidano all'assicurazione informatica.
Purtroppo, l'idea di avere questa coperta di sicurezza può portare a trascurare la prevenzione. Non è come avere l'auto assicurata e riavere indietro i soldi dopo un incidente. La criminalità informatica non funziona in questo modo. Se una copia digitale viene rubata, può moltiplicarsi in tutto il mondo e diffondersi ovunque, quindi anche se i costi dell'attacco sono coperti dalla compagnia di assicurazione, si possono comunque perdere attività e mezzi di sostentamento. Questo è il motivo per cui non dovreste affidarvi solo all'assicurazione informatica. La strategia ottimale consiste nel bloccare la causa prima ancora che abbia effetto. Punterei di più sulla prevenzione dell'attacco piuttosto che sull'analisi dei costi dell'assicurazione. Alcune compagnie assicurative pagano addirittura il riscatto in caso di attacco ransomware, finanziando così direttamente l'intero ciclo commerciale del ransomware.
Il fattore umano è spesso indicato come il più grande nemico della sicurezza informatica. Ma con così tanti potenziali errori che le persone possono commettere, è possibile addestrare tutti così bene da ridurre tutti i comportamenti a rischio?
Penso che sia almeno possibile aumentare il numero di persone consapevoli dei fattori di attacco. Le aziende non saranno mai impermeabili al 100%. Lo accetto. Ci saranno sempre persone che commetteranno errori. Ma ora troppe persone sono vulnerabili. Ritengo che nella maggior parte delle aziende solo una frazione delle persone sia consapevole della sicurezza informatica. Non potete immaginare quante persone usano ancora la stessa password per diversi account!
È possibile educare le persone senza spaventarle?
È questa la linea che cerco di trovare nei miei articoli e nelle mie attività di sensibilizzazione. Ho deciso di dare un'impronta umoristica, perché penso che se il contenuto è divertente, le persone continueranno a leggerlo, e se riesco a inserire anche un po' di educazione, allora il mio lavoro è fatto. Quando ho iniziato a insegnare sicurezza, le persone dicevano di essere già annoiate di sentire sempre le stesse istruzioni. Ma io mi sono chiesto: Hanno letto una storia davvero personale e accattivante? Probabilmente no. Così ho iniziato a scriverle. Quando le persone vengono a dirmi che hanno letto il mio articolo e hanno iniziato a interessarsi, mi rende molto orgogliosa. L'educazione deve essere piacevole, divertente e breve. I video di istruzione sulla cybersecurity della durata di sei ore non funzionano.
Pensa che anche la popolare serie Mr. Robot possa essere una buona fonte di materiale didattico?
È geniale! Mi è piaciuta molto ed è molto vera: Le persone potrebbero imparare molto da questa serie. Potrebbero rendersi conto di quanto sia facile hackerare un dispositivo. E che non tutti gli hacker siedono in uno scantinato con una felpa con il cappuccio: può essere chiunque di noi.
Lei ha violato diverse aziende. C'è stato un modello che si è distinto e che può essere considerato completamente immune dai suoi tentativi?
Onestamente? No. Ogni volta ho ottenuto esattamente ciò che volevo. Ma ho un sogno: Ho sempre voluto rapinare (eticamente) una banca. Ho persino chiesto alla Banca d'Inghilterra, implorando di poter tentare di fare qualcosa con la loro rete. Mi hanno risposto "non se ne parla". Allora ho chiesto almeno di poter rubare una penna.
Te l'hanno permesso?
No, mi hanno detto di rimetterla al suo posto. Comunque, non mi sono arreso. Perché un giorno voglio scrivere un blog con un titolo che dica: Ecco come si rapina una banca.
Informazioni su Jake Moore, specialista e portavoce di ESET per la sicurezza informatica
Jake ha lavorato per 14 anni per la polizia del Dorset, nel Regno Unito, occupandosi principalmente di indagini sulla criminalità informatica nell'ambito della Digital Forensics Unit per una serie di reati, dalle frodi ai bambini scomparsi. Durante questo periodo, utilizzando le tecniche consentite dalla legge, ha imparato a recuperare le prove digitali dai dispositivi per aiutare a proteggere le vittime innocenti della criminalità informatica. In seguito è diventato consulente di cybersecurity per le forze di polizia, fornendo consulenze personalizzate al pubblico, alle scuole e alle aziende locali con l'obiettivo di aiutare la comunità e di sviluppare le conoscenze esistenti in materia di sicurezza. È anche un appassionato di surf. C'è un parallelo tra il surf e il cyberspazio, i due campi che lo appassionano tanto? "Non si può mai e poi mai fare un passo indietro in nessuno dei due. Non importa se nel cyberspazio o nel mare: aspettatevi sempre l'inaspettato".