In questo articolo
SMART WORKING E CYBERSICUREZZA: COME PROTEGGERSI DALLE MINACCE INFORMATICHE
SMART WORKING E CYBERSICUREZZA
Nei settori che lo consentono, lo smart working è un’ottima soluzione per arginare il rischio di contagio da Coronavirus. Non salva, però, i dipendenti da altri virus, quelli cyber.
Il 73% dei dipendenti italiani che lavorano a distanza lo fanno senza nessuna indicazione, senza aver ricevuto una guida o formazione specifica sulla sicurezza informatica da parte dei datori di lavoro. Nessuna protezione dai rischi di attacchi informatici.
Pubblichiamo questo articolo dedicato allo smart working e cybersicurezza per analizzare i dati dell’ultimo report di Kaspersky che lancia l’allarme sicurezza in questo senso. Il report dal titolo “How Covid-19 changed the way people work” si basa su un sondaggio che ha coinvolto 6.000 lavoratori nel mondo (550 in Italia).
In conclusione, riportiamo consigli preziosi suggeriti dal colosso della sicurezza informatica.
SMART WORKING E CYBERSICUREZZA: LA SITUAZIONE IN ITALIA
Ecco i dati risultanti dall’ultimo report di Kaspersky:
– tre dipendenti su quattro (73%) che lavorano in smart working non hanno ancora ricevuto una formazione specifica o una guida di cybersecurity per proteggersi dai rischi cyber;
– circa un quarto (24%) dei dipendenti italiani ha ricevuto e-mail di phishing a tema Covid-19. Il download accidentale di questi contenuti malevoli può infettare i dispositivi e compromettere i dati aziendali;
– molti lavoratori in smart working hanno incrementato l’utilizzo di servizi online non approvati dai reparti IT delle loro aziende come, ad esempio, app per videoconferenze (35%), per messaggistica istantanea (39%) o per l’archiviazione dei file (35%);
– il 68% dei dipendenti ha ammesso di usare il proprio PC per lavorare a distanza;
– il 33% ha riferito di visitare siti web per adulti accedendovi dal dispositivo usato per lavorare. Non dimentichiamo che i siti porno sono un ‘gancio’ micidiale usato dagli hacker per attirare vittime: possono rubare dati della carta di credito o ingannare gli utenti installando malware.
Una lacuna enorme, da colmare assolutamente con le opportune misure di cybersecurity, non soltanto per l’emergenza Covid-19. Lo smart working è una soluzione sempre più attraente nel mercato del lavoro, il futuro per le nuove generazioni.
LO SMART WORKING FA GOLA AI CYBER CRIMINALI
Quando un dispositivo aziendale viene portato al di fuori dell’infrastruttura di rete aziendale e connesso al Wi-Fi o a nuove reti, i rischi aumentano notevolmente.
Una rete Wi-fi non sicura, la connessione 4G e 5G fanno aumentare il rischio di infezione (da malware, ransomware, spionaggio aziendale). Possono essere infettati anche diversi programmi, open-source e gratuiti che consentono la comunicazione da remoto.
A peggiorare la situazione, in caso di smart working, è l’utilizzo di dispositivi personali a scopi lavorativi concesso da molte aziende. Il phishing rischia di infettare ancor più i device personali (con software obsoleto, vulnerabilità non aggiornate).
La difficoltà di mettere in sicurezza e tracciare i dispositivi nonché il controllo decentralizzato dell’IT generano ulteriori rischi rendendo il sistema di sicurezza ancora più vulnerabile.
In passato, ancor prima del lockdown, i cyber criminali hanno usato diversi metodi per colpire i dipendenti in smart working.
Giampaolo Dedola, security researcher at GReAT di Kaspersky, ha dichiarato che gli hacker approfitteranno della situazione di trasferimento di massa improvviso e urgente per attaccare qualsiasi vulnerabilità.
L’utilizzo di dispositivi mobili personali, la connessione ad un’ampia gamma di servizi cloud e l’installazione di software sono la nuova sfida per gli amministratori di IT nel contesto dello smart working.
SOFTWARE PER CONNESSIONE AL DESKTOP DA REMOTO E TECNOLOGIA VPN
A seguito dell’emergenza Covid-19 molte aziende hanno dovuto installare urgentemente software per connessione al desktop da remoto. Gli esperti di sicurezza non amano questo genere di software, gli hacker sì.
A livello mondiale, dall’inizio di marzo, si registra un aumento importante degli attacchi informatici alle porte aperte tramite l’RDP, il protocollo di connessione da remoto maggiormente in uso.
Il problema è anche un altro e riguarda i lavoratori. Spesso, quando si collegano da una connessione remota alla rete aziendale, i dipendenti non valutano altre eventuali apparecchiature connesse al router di casa. Un’aspirapolvere smart, per esempio: il router potrebbe non essere abbastanza protetto o infetto a causa delle vulnerabilità del firmware.
I dispositivi utilizzati per lo smart working possono comunicare con la rete aziendale su un canale sicuro grazie alla tecnologia VPN (Virtual Private Networks), che ‘vieta’ per principio le connessioni dirette alla rete aziendale stessa.
Purtroppo, secondo il report di Kaspersky, soltanto il 53% dei dipendenti utilizza una VPN per connettersi alla rete aziendale.
SMART WORKING E CYBERSICUREZZA: CONSIGLI AI DIPENDENTI DA KASPERSKY
Kaspersky dà alcuni suggerimenti ai dipendenti per proteggere sia se stessi sia l’azienda per cui lavorano.
Ecco quali sono:
– aggiornare regolarmente i software ed il sistema operativo;
– configurare la cifratura della connessione Wi-fi per impedire ai cyber criminali di connettersi alla vostra rete Wi-fi o di insinuarsi nel vostro router. Esistono vari standard di cifratura per le reti Wi-fi: il migliore è lo standard WPA2. Inserite una password robusta;.
– cambiare username e password del router se non lo avete mai fatto perché le password di default sono deboli e facilmente reperibili su Internet;
– utilizzare una VPN in spazi di coworking e in locali pubblici perché le reti Wi-fi pubbliche spesso non sono cifrate;
– bloccare lo schermo del vostro dispositivo prima di allontanarvi per una pausa;
– utilizzare i servizi aziendali per messaggi, e-mail, altro. L’azienda deve definire una serie di servizi IT che i dipendenti possono usare (come Microsoft Office 365, sistemi di messaggistica aziendale come Slack o HipChat e una casella di posta aziendale). Tutti questi strumenti vengono configurati dalla divisione IT dell’azienda, quindi usate questi, inclusi drive su cloud configurati per il business;
– verificare sempre e con cura le e-mail in arrivo ed essere in grado di riconoscere l’e-mail di phishing. Verificate bene l’identità del mittente prima di rispondere, se avete dubbi chiedete conferma al vostro capo prima di procedere. Diffidate soprattutto di e-mail che contengono link;
– utilizzare possibilmente sempre portatili e telefoni aziendali protetti da adeguate soluzioni di sicurezza che consentano la cancellazione da remoto dei dati aziendali, la separazione tra dati aziendali e personali, restrizioni su dove installare applicazioni. Se siete costretti ad usare dispositivi personali, bisogna indicare una politica BYOD per la gestione dei dati aziendali presenti nei dispositivi.
SMART WORKING E CYBERSICUREZZA: I CONSIGLI DI KASPERSKY ALLE AZIENDE
Kaspersky, nel suo report, per colmare eventuali lacune di sicurezza IT, fornisce alcuni consigli per aiutare le aziende:
– Fare in modo che i dipendenti possano lavorare in sicurezza da remoto e sappiano a chi rivolgersi in caso di problemi di sicurezza informatica;
– Pianificare una formazione di base sulla sicurezza per i dipendenti attraverso training online che includano pratiche per la gestione della password e degli account, sicurezza del PC, posta elettronica, navigazione su Internet;
– Assicurarsi che tutti i dispositivi, applicazioni, software e servizi siano costantemente aggiornati;
– Adottare misure di protezione dei dati (protezione password, completamento del backup dei dati, crittografia dei dispositivi);
– Eseguire un doppio controllo della protezione dei dispositivi mobili. E’ necessario abilitare le funzionalità antifurto (posizione remota del dispositivo, blocco e cancellazione dei dati, blocco dello schermo e password, Face ID o Touch ID) ma bisogna abilitare anche il controllo delle applicazioni per essere sicuri di installare solo quelle della white list.
– Installare un software di protezione sicuro su ogni endpoint (inclusi i dispositivi mobili) ed attivare il firewall. Un buon sistema di sicurezza include la protezione dalle minacce web e dal phishing tramite e-mail.
Ci sarebbe molto altro da consigliare alle aziende…
Più Sicurezza ha inaugurato la sua nuova attività nel campo della
CYBERSECURITY CLASS.
Per informazioni, consigli e consulenza non esitare a contattarci.
