Nessuno pensa di essere una potenziale vittima di cyberattacchi. "Ed è proprio per questo che siamo così vulnerabili" dice Jake Moore, uno specialista di cybersecurity di ESET. Nella sua breve intervista ne scoprirai il motivo. A Jake non manca mai la motivazione per scrutare e testare come le piccole-medie imprese percepiscono e gestiscono la cybersecurity. Nella maggior parte dei casi, la risposta è: piuttosto male. Scopri perché nell’intervista che gli abbiamo fatto.
Cominciamo dall’opposto. Dal momento che stai costantemente cercando di rendere la vita degli hacker più difficile, per molti di loro, devi essere un obiettivo molto attraente. Sei mai stato hackerato?
Proprio così! Ma no, non sono stato hackerato. O almeno non credo. Ma qualcuno ha cercato di duplicare il mio account Instagram e ha iniziato a inviare messaggi alle persone, spacciandosi per me. Ma indovinate un po' - una delle persone a cui l'aggressore ha mandato messaggi era un mio collega. E ha avuto una grande conversazione con quel ragazzo, prendendolo in giro, il che è stato esilarante. Ho tutti gli screenshot della conversazione. Anche se non sono mai stato vittima di un attacco informatico, penso sempre che potrei. Sono molto attento, sono prudente con i link su cui clicco, così come con gli allegati delle e-mail e così via.
Suona come un approccio "Spera per il meglio, aspettati il peggio".
Assolutamente sì. A volte, mia moglie pensa persino che io sia piuttosto scortese al telefono, ma sono solo prudente con le chiamate non richieste e diffido del peggio. Se solo più piccole imprese pensassero così! Ma purtroppo, tendono a pensare che non può succedere loro nulla, il che è un po' stravagante. Tutti sono un bersaglio, dopo tutto. Le piccole aziende a volte credono che i criminali informatici preferiscano attaccare i grandi giocatori, ma in realtà, hackerare 100 piccole imprese può essere molto più facile da realizzare che attaccare una sola grande società.
Per 14 anni, hai lavorato per il Dorset, forza di polizia del Regno Unito, specializzandoti nelle indagini sui crimini informatici. Stavi anche risolvendo casi relativi alle PMI?
Molto spesso, ero in contatto con molti liberi professionisti e aziende con meno di 50 dipendenti. Per a maggior parte non avevano idea di quanto fossero vulnerabili. Spesso pensavano di non avere i soldi per implementare una soluzione di cybersecurity, anche se ci sono modi economici o addirittura gratuiti per proteggere un'azienda. Quando davo loro consigli di base come raccomandare l'uso dell'autenticazione a due fattori, spesso chiedevano: "Che cos'è? Sembra costoso". Stavano solo lasciando le finestre spalancate agli attacchi. Per molti di loro, questo è stato un errore fatale.
Nel tuo recente pezzo, hai raccontato di come sei andato sotto copertura - mascherato da assistente produttore televisivo, Jack - per violare la rete di un lussuoso club di golf. E ci sei riuscito; il personale ti ha persino lasciato solo con i dispositivi aziendali, permettendoti potenzialmente di sfruttare l'intera rete. Cosa avrebbero potuto fare di diverso per tutelarsi?
In primo luogo, avrebbero dovuto chiedere un qualche tipo di documento d'identità, soprattutto se stavo andando dietro il bancone, per così dire, volendo infilare una USB nelle loro macchine. Ma dato che ho visitato il golf club una settimana prima per presentarmi, dicendo quanto fosse bello il loro campo, cosa che ovviamente è stata molto lusinghiera per loro, pensavano di conoscermi già e si fidavano di me. Inoltre, non mi aspettavo di vedere un pc con Windows XP (il sistema operativo XP non è più supportato dal 2014), collegato addirittura con quello del punto vendita. Questi pc possono anche essere attaccati da remoto. I software avrebbero dovuto essere sul sistema operativo più aggiornato. Molte piccole imprese hanno i loro software in esecuzione su sistemi obsoleti poiché pensano che finché non è rotto, non ha senso cambiarlo - ma in realtà, è una vulnerabilità enorme. Questo golf club memorizza enormi quantità di dati, per lo più di persone molto ricche, e questi dati potrebbero potenzialmente valere più di un attacco finanziario. E quindi è molto allettante per gli hacker.
Questi attacchi cyber-fisici sono una strategia comune dei criminali informatici?
Soprattutto prima della pandemia, ho letto molto di criminali che tentano di entrare fisicamente nei database. A volte fingono di essere un operaio, o un postino. Ora non è più così facile dato che ci sono meno persone negli uffici ed è più difficile per gli hacker nascondersi. Ma sento che quando la gente comincerà a tornare in ufficio, questi attacchi potrebbero riemergere più spesso, con i criminali informatici che si mettono maschere in faccia, per nascondere ancora meglio le loro identità. La sicurezza informatica e quella fisica vanno considerate un tutt’uno. Prevenire l'attacco è una strategia di gran lunga migliore che affrontare le conseguenze.
Alcune aziende si affidano all'assicurazione informatica.
Purtroppo sì. Questo perché l'idea di avere questa coperta di sicurezza può portare a trascurare la prevenzione. Non è come avere l'auto assicurata e avere i soldi indietro una volta che succede un incidente. Il crimine informatico non funziona in questo modo. Se una copia digitale viene rubata, può moltiplicarsi in tutto il mondo e andare ovunque, quindi anche se si hanno i costi dell'attacco coperti dalla compagnia di assicurazione, si possono comunque perdere affari e mezzi di sussistenza. Questo è il motivo per cui non si dovrebbe fare affidamento solo sull'assicurazione informatica. La strategia ottimale è fermare la causa prima ancora che sfoci. Alcune compagnie di assicurazione pagano addirittura il riscatto in caso di un attacco ransomware - finanziando così direttamente l'intero ciclo economico del ransomware.
Il fattore umano è spesso nominato come il più grande nemico della sicurezza informatica. Ma con così tanti potenziali errori che le persone possono fare, è possibile addestrare tutti così bene da mitigare ogni comportamento rischioso?
Penso che quantomeno sia possibile aumentare la consapevolezza dei fattori di attacco. Le aziende non saranno mai stagne al 100%. Lo accetto. Ci saranno sempre persone che commettono errori. Ma ora, troppe persone sono vulnerabili. Attualmente solo una frazione delle persone nella maggior parte delle aziende sono consapevoli del cyber. Non credereste a quante persone usano ancora la stessa password per diversi account!
È possibile educare le persone senza spaventarle?
Questa è la linea che sto cercando di dare ai miei articoli e nelle attività di sensibilizzazione. Ho deciso di essere umoristico, perché penso che se il contenuto è divertente, la gente continuerà a leggerlo, e se riesco a buttarci dentro anche un po' di educazione, allora il mio lavoro è fatto. Quando ho iniziato a insegnare sicurezza, le persone dicevano che erano già annoiate di sentire sempre le stesse istruzioni. Ma mi sono chiesto: Hanno letto una vera storia personale e accattivante? Probabilmente no. Così ho iniziato a scriverle. Quando le persone vengono a dirmi che hanno letto il mio articolo e hanno iniziato a interessarsi, questo mi rende molto orgoglioso. L'educazione deve essere divertente, divertente e breve. I video d'istruzione sulla cyber-sicurezza lunghi sei ore non funzionano.
Pensi che anche la popolare serie Mr. Robot potrebbe essere una buona fonte di materiale educativo?
Una serie brillante! L'ho adorato ed è molto vero: La gente potrebbe imparare molto da essa. Potrebbero rendersi conto di quanto sia effettivamente facile hackerare un dispositivo. E che non tutti gli hacker stanno seduti in uno scantinato con una felpa col cappuccio - può essere chiunque di noi.
Hai fatto white-hacking in diverse aziende. C'è stato qualcuno che si è distinto e che può essere considerato completamente immune ai tuoi tentativi?
Onestamente? No. Ogni volta ho ottenuto esattamente quello che volevo. Ma ho un sogno: ho sempre voluto rapinare (eticamente) una banca. Ho persino chiesto alla Banca d'Inghilterra, supplicando se potevo tentare di fare qualcosa con la loro rete. Hanno detto "non se ne parla". Così, ho almeno chiesto se potevo rubare una penna.
Te l'hanno permesso?
No, mi hanno detto di rimetterla al suo posto. Comunque, non mi sono arreso. Perché un giorno voglio scrivere un articolo dal titolo: “Ecco come si rapina una banca”.
Informazioni su Jake Moore, specialista di sicurezza informatica e portavoce di ESET
Jake ha lavorato in precedenza per la polizia di Dorset nel Regno Unito per 14 anni, indagando principalmente sui crimini informatici nella sua unità di Digital Forensics su una serie di reati, dalla frode ai bambini scomparsi. Durante questo periodo, utilizzando le tecniche consentite dalla legge, ha imparato a recuperare le prove digitali dai dispositivi per aiutare a proteggere le vittime innocenti del crimine informatico. Poi è diventato un consulente di sicurezza informatica per le forze di polizia, fornendo consigli su misura per il pubblico, le scuole e le imprese locali con l'obiettivo di aiutare la comunità e costruire sulla loro conoscenza della sicurezza esistente. È anche un surfista appassionato. C'è qualche parallelo tra il surf e il cyberspazio, i due campi di cui è così appassionato? "Non si può mai, mai mettere in secondo piano nessuno dei due. Non importa se nel cyberspazio o nel mare: aspettatevi sempre l'inaspettato".