Perché i cyber criminali attaccano le piccole imprese

Le dimensioni della vostra azienda contano davvero per i cyber criminali? Si e no. La maggior parte degli esperti concorda con Jody Westby, CEO di Global Cyber Risk, quando dice “Non sono le dimensioni a rendere un’impresa attraente ma i dati, soprattutto se si tratta di informazioni preziose come i contatti dei clienti, i dati di carte di credito, le informazioni sanitarie e le proprietà intellettuali di grande valore”.

Al tempo stesso molti esperti sostengono che siano le piccole e medie imprese (PMI) i bersagli più invitanti, dal momento che tendono a essere meno sicure e perché tutti i processi di automazione permettono ai cyber criminali di attaccarle in massa con poco sforzo. Ecco perché se in passato il proprietario di una piccola impresa poteva sentirsi al sicuro da attacchi esterni proprio per le limitate dimensioni dell’azienda, oggi è tutto diverso.

Greg Shannon, capo consulente scientifico del CERT Division del Software Engineering Institute alla Carnegie Mellon University, afferma che quella delle dimensioni di un’impresa sia una questione fuorviante. “Oggi le PMI sono molto più interconnesse rispetto a ieri. Se in passato perdere alcune email era solo un fastidio, oggi può trasformarsi in problema critico. Inoltre le piccole imprese rappresentano un bersaglio ideale perché gli attacchi sono ormai automatizzati. Ai cyber criminali non importa tanto chi stiano attaccando e non si interessano della singola azienda; con i loro virus e i ransomware infatti sono oggi in grado di colpire migliaia o milioni di aziende”.

Le imprese colpite da questi attacchi automatizzati ricadono in quella categoria che gli esperti chiamano “a portata di mano” e le PMI tendono a diventare tali molto più che non le grandi imprese. Dopotutto, come fa notare Kaspersky, “le grandi compagnie hanno costruito difese migliori contro gli attacchi e così i cyber criminali tendono a colpire le imprese più piccole”.

Jason Healey, direttore del Cyber Statecraft Initiative dell’Atlantic Council, afferma che le aziende più piccole sono generalmente più vulnerabili, visto che solo le grandi compagnie possono permettersi le difese migliori e più efficaci.

David Burg, a capo della sicurezza informatica di PricewaterhouseCoopers (PwC), ritiene che il problema stia peggiorando sempre di più da quando le piccole imprese stanno tagliando i fondi proprio sul versante della sicurezza. Nel recente rapporto Global State of Information Security Survey 2015 di PwC Burg scrive che nel 2014 le piccole imprese con un fatturato annuo inferiore ai 100 milioni di dollari hanno tagliato le spese di sicurezza del 20%, mentre quelle medie e grandi con fatturati annui compresi tra i 100 e i 999 milioni di dollari hanno aumentato gli investimento in sicurezza del 5%. Sempre secondo questo rapporto il numero delle medie imprese “compromesse” è aumentato del 64% dal 2013 al 2014, proprio perché gli strumenti di difesa di queste compagnie non possono competere con le tecnologie e i processi di sicurezza in possesso delle imprese più grandi.

A conferma di ciò il rapporto investigativo sulla violazione dei dati di Verizon Communications del 2013 indica che il 62% dei dati trafugati appartenevano a piccole e medie imprese. Tra le debolezze principali che rendono le PMI così attraenti per i cyber criminali ci sono:

• Mancanza di budget, tempo e competenza per implementare misure di sicurezza efficaci
• Mancanza di personale IT esperto in sicurezza
• Mancanza di consapevolezza del rischio
• Mancanza di formazione di personale adeguato
• Incapacità nel mantenere aggiornati i sistemi di difesa
• Delegare la sicurezza ad appaltatori o amministratori di sistema esterni non qualificati

Shannon è d’accordo con questa lista, ma fa notare come questi punti fossero validi cinque o dieci anni fa. A essere diverso oggi è il fatto che le PMI sono molto più interconnesse che in passato. Invece di avere solo un semplice sito web o un account email, oggi le piccole e medie imprese devono avere a che fare con network più vasti e complessi che comportano connessioni con clienti e partner a livello di cloud e mobile.
Tutto il flusso di dati generato da queste connessioni è ormai diventato molto appetibile per i cyber criminali.

Un altro motivo dell’attrattiva delle PMI è che queste aziende sono spesso viste come un modo per avere accesso a bersagli molto più grandi e profittevoli. Alex Moss, CTO di Conventus, è convinto che le PMI siano più un mezzo per approdare a un altro obiettivo che non il traguardo finale degli attacchi criminali. “Mano a mano che il mondo digitale del B2B si fa sempre più interconnesso, le compagnie più grandi e importanti esigono che i proprio venditori e fornitori interagiscano con elementi e sistemi interni come logistica, marketing, risorse umane, appalti, retribuzioni e persino manutenzione”, afferma Moss. “Questi legami fungono da accesso alla struttura principale, che è poi il vero obiettivo degli attacchi”.

Dello stesso avviso è Symantec Security, secondo cui I cyber criminali utilizzano le PMI come trampolino di lancio per ottenere accesso a reti aziendali più vaste e importanti. Anche David Burg di PwC è d’accordo con questa linea di pensiero e fa notare come “le aziende più grandi si servano sempre di più delle piccole imprese a livello di fornitori, partner d’impresa e terzisti; in questo modo le PMI possono avere accesso alle reti e alle informazioni dei loro partner più grandi”.

Nonostante questi scenari poco rassicuranti, secondo diversi esperti esistono delle strategie con cui le PMI possono migliorare la propria sicurezza senza incidere troppo sul budget. Jason Healey è convinto che le cose possano migliorare nel corso di quest’anno, grazie soprattutto al fatto che molte PMI si stanno affidando sempre di più a servizi cloud, che a loro volta sono in grado di fornire strumenti di sicurezza molto efficaci. Anche Shannon raccomanda alle piccole e medie imprese di delegare la sicurezza al cloud, aggiungendo che un altro metodo per diventare meno vulnerabili è la diversificazione. Conviene cioè non mettere tutto nello stesso cesto, ma affidarsi per esempio a un sistema per la gestione del personale e a un altro per la produzione, utilizzare Hard Disk diversi e differenti sistemi operativi.

Anche le autorità regolatrici stanno prestando molta più attenzione alla realtà delle PMI. Nel mondo retail l’ultima versione del Payment Card Industry Data Security Standard (PCI DSS), in vigore dal primo gennaio di quest’anno, richiede standard di sicurezza molto più rigorosi per fornitori e terzisti esterni, che, come dimostra la catastrofica violazione di sicurezza di Target avvenuta poco più di un anno fa, hanno rappresentato un punto debole anche per le compagnie più grandi.

Moss è ben consapevole che non sarebbe né giusto né realistico aspettarsi che le PMI abbiano lo stesso e complesso livello di controlli e monitoraggi delle compagnie più grandi, ma ciò non significa che non debbano dotarsi dei sistemi di sicurezza più semplici e basilari.

Questo però non vuol dire che le grandi aziende non siano più oggetto di attacchi. Sempre David Burg fa infatti notare come due delle più grandi violazioni di sicurezza dello scorso anno abbiano fruttato ciascuna i dati di oltre 50 milioni di carte di credito, cifra impossibile da ottenere attaccando compagnie più piccole. Inoltre le grandi imprese fanno gola perché possiedono proprietà intellettuali di più alto valore e informazioni importanti che magari non daranno un guadagno istantaneo, ma che potrebbero diventare molto preziose sulla lunga distanza.

Symantec aggiunge che nel 2013 gli attacchi verso le compagnie sono aumentati del 91% su base annua e sono durati tre volte tanto. Non importa se sono piccole o grandi; le aziende possiedono informazioni preziose che possono fare gola a qualsiasi tipo di criminale. Per concludere, Healey afferma che “è più facile svaligiare una casa che non un museo ed è più facile svaligiare un museo che non il Louvre. I ladri però prenderanno sempre di mira il Louvre perché è lì che si nasconde il vero tesoro”.