Furti di dati e violazioni sono ormai praticamente all’ordine del giorno, eppure la maggior parte di noi è ancora troppo poco preparata sull’argomento. Il risultato è che siamo esposti, sia a livello personale sia a livello aziendale, e rischiamo di subire danni di ogni tipo.
Ilaria Filoia è Marketing Specialist per QNAP Italia. Tra i suoi obiettivi, quello di aumentare la conoscenza dei vantaggi delle tecnologie QNAP specificamente studiate per nuovi comparti di mercato – tra cui cybersecurity, videosorveglianza, IoT – a vantaggio del business di imprese di qualsiasi dimensione, ma anche di utenti finali.
Il problema riguarda un po’ tutti i settori in Italia, e forse ha qualcosa a che vedere con la cultura nazionale, e in estrema sintesi sta nel fatto che non diamo il giusto valore alla prevenzione, limitandoci a riparare il danno quando ormai è fatto. Un po’ come se tutti viaggiassimo senza ruota di scorta.
La questione più urgente e più grave è anche quella più difficile da risolvere: manca la formazione, la cultura della sicurezza. Manca uno sforzo serio affinché ognuno di noi, non solo i tecnici e gli smanettoni, comprenda come deve comportarsi.
Un argomento sicuramente complesso, di cui abbiamo parlato con Ilaria Filoia, marketing specialist di QNAP. Quest’ultima è un’azienda che, proprio negli ultimi mesi, ha dovuto affrontare questioni molto serie in tema di sicurezza, con attacchi che hanno preso di mira il loro dispositivi. Ed è proprio dai NAS (Network Attached Storage) che possiamo partire per capire dove e come migliorare la sicurezza di tutti. Sì perché il NAS non è ciò che alcuni pensano.
Infatti Filoia ci ha spiegato che “le persone sono portate a pensare al dispositivo NAS come se fosse una cassaforte”. Cioè, l’imprenditore compra un NAS per il proprio ufficio, lo fa installare e con questo gesto si sente al sicuro, crede che non avrà problemi con i dati - vuoi per l’incidente o l’attacco.
Ovviamente non è così, un NAS non dà garanzie di sicurezza. Certo, alcuni NAS hanno funzioni di protezione, ma se la stessa QNAP vende hardware di sicurezza (analizzatori di rete , come il QNAP ADRA) è proprio perché una cosa è archiviare i dati, e un’altra diversa è proteggerli.
Se le persone hanno un falso senso di sicurezza, poi quando i problemi arrivano, ed arrivano sempre, ci si mettono le mani nei capelli e si cercano colpevoli. La stessa QNAP ha dovuto gestire molti clienti arrabbiati per l’attacco DeadBolt e non solo. Certo, c’era una falla nei sistemi QNAP, ma c’erano anche degli aggiornamenti da scaricare che l’avrebbero risolta - sono ancora in troppi quelli che non aggiornano mai. E c’erano soluzioni che avrebbero permesso di assorbire il colpo quasi senza conseguenze … solo che bisognava pensarci prima.
Ma più dell’hardware e del software, più dei firewall e degli antivirus, sono le persone che possono fare la differenza. Dai responsabili IT ai lavoratori, passando ovviamente per la dirigenza, tutti devono comprendere che si può fare qualcosa di più per evitare problemi più grossi, quando si parla di dati.
La stessa QNAP cerca di contribuire a questo sforzo. Per esempio, hanno aperto un canale Youtube in Italiano, dove trovare tutorial e spiegazioni su come usare i loro prodotti in sicurezza. La creazione del canale, ci spiega ancora Filoia, nasce (anche) dall’esigenza di “superare il problema dell’inglese”. A quanto pare, “ nonostante Netflix e la scuola, ancora tanti italiani non lo conoscono. Così trasformiamo i contenuti di QNAP originali e li adattiamo”. Sul canale, continua Filoia, “parliamo di cose come la gestione delle password o del firewall, o della differenza tra firewall e antivirus non solo di come configurare ed utilizzare al meglio i prodotti QNAP”.
Molti dei problemi si possono risolvere lavorando in anticipo, e formano le persone nel modo giusto. Filoia fa notare che, almeno in alcuni casi, “Le persone e le PMI ancora non hanno la filosofia aziendale giusta. Non hanno il disaster recovery, o una strategia di backup che segua la regola 3.2.1”.
La questione più pressante da affrontare riguarda infatti il ransomware, quel tipo di attacco dove la vittima si trova con i suoi file bloccati, e una richiesta di riscatto (ransom, appunto) per sbloccarli. Il ransomware spesso e volentieri colpisce sia il sistema principale sia quello di backup, ragion per cui i backup vanno gestiti con molta cura. “Contro il ransomware il backup è ancora l'unica strategia efficace al 100%”, conferma Filoia. Appunto, una cosa che richiede di giocare in anticipo, di essere pronti quando arriva il colpo. Il backup, si dice per ridere, è quella cosa che dovevi farla prima. E, aggiungiamo noi, è quella cosa che devi farla bene.
La soluzione definitiva non esiste, bisogna accettarlo
Purtroppo non esiste alcuna soluzione definitiva, anche se molti la vorrebbero. Vorremmo poter comprare un dispositivo e poi dire “questa è fatta, passiamo ad altro”. Ma la protezione dei dati non funziona così, e probabilmente questo scenario idilliaco non lo vedremo proprio mai.
Bisogna impegnarsi tutti i giorni. Prendere un NAS va bene, ma magari ce ne vogliono due. Prendere un firewall va bene, e ci vorranno anche gli antivirus sui PC, ma poi bisogna comunque stare attenti ed essere prudenti.
La soluzione definitiva non esiste per una ragione molto semplice: i criminali si impegnano tutti i giorni, cercando e trovando di continuo nuovi modi di attaccare i nostri sistemi. Di conseguenza, le aziende devono fare altrettanto.
Semplicemente, non esiste alcuna possibilità di comprare un dispositivo, o sottoscrivere un abbonamento, e poi dimenticarsi del problema. O meglio, lo si può fare, anzi lo fanno in tanti, però poi possono succedere cose parecchio sgradevoli.
E a quel punto, magari, viene voglia di dare la colpa al fornitore. Come è capita a QNAP, ma anche a tanti altri. E se fosse così semplice, saremmo tutti molto più contenti. Invece il vendor è anch’esso vittima, quanto l’azienda che ha perso i dati.
Prevenire è meglio che curare, ormai dovremmo saperlo
Ma anche qui vale il detto “chi è causa del suo mal, pianga sé stesso”. Un imprenditore, o il suo CTO, deve preoccuparsi in prima persona di attuare tutte le misure possibili per stare al sicuro. Mettere più di un NAS, fare backup nel modo giusto, dotarsi di firewall e antivirus, e soprattutto formare il proprio personale e assicurarsi che poi i lavoratori mettano in pratica le best practices.
E, per quanto sia fastidioso, ogni tanto è meglio cambiare i dispositivi. E sì, a volte il NAS va cambiato anche se “funziona ancora”, perché magari non è più in grado di fornire la necessaria sicurezza o prestazioni adeguate.
“È ovvio che un NAS di dieci anni non può essere performante e sicuro come uno di ultima generazione. Soprattutto se non si fa la manutenzione e non si fanno gli aggiornamenti”, ci ricorda Ilaria Filoia.
Insomma, anche la sicurezza informatica richiede investimenti. E, come regola generale, sarebbe consigliabile aumentare un po’ gli investimenti esistenti.
Ad oggi, invece, molte realtà italiane si attivano per riparare il danno, quando invece si è fatto poco o nulla per prevenirlo. Succede di continuo, con scenari che si ripetono uguali a sé stessi, “e ti rendi conto che il messaggio non passa e che troppe persone fanno gli stessi errori”, commenta Filoia.
La referente di QNAP ci racconta, ad esempio, di una ASL che si è trovata con i dati criptati. Ed è emerso che avevano “un prodotto non aggiornato da anni, e non sapevano nemmeno che è possibile dotarsi di una strategia”.
“Manca la cultura di protezione del dato, e ciò è pericoloso perché l'Italia si sta digitalizzando. Sentiamo parlare di 4.0 ma se non costruiamo le basi corrette rischiamo di andare incontro a seri problemi”.
Problemi che nascono da una semplice constatazioni dei fatti: le PMI italiane sono bersagli facili, quindi attaccarle è un’operazione molto vantaggiosa, economicamente. Se anche solo va a segno un attacco su dieci (ma sono di più), per loro ne vale la pena. Ma per noi, soprattutto se viene colpito un ospedale o un’altra istituzione, ci sono disagi enormi perché l’operatività si blocca.
La situazione ideale in cui tutti vorremmo trovarci è quella in cui tutte le persone incluse sono preparate in tema di sicurezza, e sanno come fare le cose per bene. E poi, nella situazione ideale tutti i decision maker sono pronti a investire quanto necessario per assicurarsi la migliore sicurezza possibile, in ogni momento.
Forse questo mondo ideale non lo vedremo mai, ma senz’altro oggi si può iniziare a fare qualcosa per offrire formazione specifica, insegnare alle persone cosa bisogna fare, e come farlo.
La formazione sulla sicurezza informatica, secondo chi scrive, dovrebbe cominciare alle scuole elementari. Non è così, purtroppo: anzi, QNAP per ora ha trovato terreno fertile solo presso alcuni Enti di Formazione Professionale. Luoghi dove si cerca veramente di far comprendere agli studenti come usare la tecnologia in sicurezza. QNAP supporta questi Enti offrendo gratuitamente i dispositivi usati durante i corsi.
