Abbiamo parlato, la scorsa settimana, di una serie di best practice da adottare per minimizzare il rischio ed il danno informatico, per fare fronte ad un eventuale attacco. Proseguiamo la guida ad un utilizzo consapevole degli strumenti informatici in dotazione alla Pubblica Amministrazione con le dieci regole da adottare sempre allo scopo di minimizzare il rischio (ricordiamo che il rischio zero non esiste). Pochi e semplici consigli per incrementare, in maniera significativa e pratica, i livelli di sicurezza del proprio Ente locale.
Scegliere password robuste
Ormai diversi studi hanno dimostrato come gli utenti siano colpevolmente leggeri nello scegliere le proprie password: spesso viene usata la stessa per più servizi, la stessa sia al lavoro sia per accedere a siti personali e per di più di una tale facilità che un cyber criminale anche di scarsissime abilità sarebbe in grado di penetrarle. Questo è un errore banale, ma essenziale. È invece obbligatorio scegliere password robuste, lunghe (almeno 8 caratteri) composte da lettere e numeri casuali, con almeno una maiuscola e un carattere speciale.
Una buona alternativa potrebbe essere scegliere una pass-phrase al posto di una pass-word, più lunga, ma anche più facile da ricordare. Timore di dimenticare le troppe password di utilizzo quotidiano? Una buona prassi è utilizzare un password manager per raccogliere tutte le preziose chiavi di accesso. In questo modo sarà necessario ricordare una sola password, che però dovrà essere la più robusta di tutte.
Attenzione al tracking
Abbiamo già parlato dei cookies e del loro utilizzo nella Pubblica Amministrazione. Da utenti del web, sia a livello personale, sia, a maggior ragione, quando si naviga dal posto di lavoro, è bene ricordare che accettare qualsiasi cosa venga proposta da non si sa chi non è una buona prassi. I sistemi di tracking online registrano i comportamenti, ma possono anche veicolare contenuti malevoli sui device, soprattutto se non si sa da dove vengano.
I siti che non rispettano le normative sui cookies non andrebbero visitati. Qualora la cosa sia strettamente necessaria, ricordarsi di attivare la navigazione in incognito e di chiudere la pagina al termine della consultazione.
Navigare in sicurezza
Quando si naviga il web da un computer di lavoro (vale anche per il privato, in ogni caso) è obbligatorio farlo in sicurezza. I collegamenti a reti pubbliche Wi-Fi non protetta da password andrebbero evitati, così come non si dovrebbe navigare su risorse lavorative quando ci si trova in luoghi pubblici. Vietatissimo, in ogni caso, inserire credenziali di accesso, perché potrebbero transitare su linee accessibili a chiunque, ed essere facilmente individuabili.
Attivare una VPN è più facile e meno dispendioso di quanto si creda, soprattutto se paragonato ai danni, economici e non, che invece farebbe un attacco di successo alle reti dell’Ente. Comprare un antivirus (e tenerlo aggiornato) L’acquisto di un buon antivirus dovrebbe essere l’ABC della strategia di sicurezza in rete. Purtroppo comprarlo non basta, andrebbe anche tenuto costantemente aggiornato. Bisogna immaginare la lotta tra sviluppatori di software e criminali informatici come un costante inseguimento: chi arriva primo vince. I programmi si aggiornano, ma i virus pure, esattamente come succede per quelli “reali” mutano, cambiano faccia. Lo stesso devono fare gli antivirus, che sono i vaccini della rete. Consiglio: anche gli smartphone andrebbero protetti da antivirus: si tratta di computer a tutti gli effetti e il fatto che sappiano (anche) telefonare è del tutto accessorio.
Aggiornamenti dei sistemi
Non solo gli antivirus, ma anche i sistemi operativi e in generale tutti i software vanno tenuti sempre aggiornati. Valgono le stesse considerazioni di cui al punto precedente. Alcune volte capita che un aggiornamento di sistema porti con sé qualche problema di utilizzo, qualche bug che deve essere sistemato, ma sempre meglio un computer un po’ più lento che un computer inutilizzabile perché preda di un ransomware.
Criptare i contenuti
Come abbiamo già scritto in questo articolo, i ransomware sono malware che criptano i contenuti direttamente sul device e poi estorcono somme di denaro per ottenere la restituzione. La vita dei cyber criminali diventa però più difficile se i contenuti vengono criptati alla fonte, conservando poi con cura la chiave di decriptazione. In questo modo, anche in caso di attacco ransomware, il cyber estorsore cripterebbe dei dati già a loro volta criptati, pertanto illeggibili ed inutilizzabili.
Il backup è obbligatorio
Il consiglio di cui al punto precedente vale e funziona solo se viene eseguito un backup di tutte le informazioni presenti sul device. Questo consiglio vale per PA, enti privati e computer privati, ma nel caso degli Enti locali è facile immaginare come sia ancora più importante. In caso di furto di dati, il fatto di averli criptati li renderà inutilizzabili per il ladro, ma anche per noi. È quindi necessario avere una copia di backup aggiornata e pronta all’uso. Il backup non deve mai stare nello stesso posto (fisico e virtuale) in cui si trova la copia principale dei dati, per evidenti ed ovvi motivi di sicurezza.
Custodia dei device
Oltre a conservare con cura i portatili e smartphone, al riparo da furti o smarrimento, ogni volta che viene dismesso un device andrebbe formattato interamente il contenuto. Non basta cancellare i file presenti, che potrebbero essere facilmente recuperati, ma è necessario formattare tutti i supporti di memoria, prima di vendere, permutare o rottamare qualsiasi dispositivo elettronico.
Attenzione alle email ed agli sms sospetti
Le email sono il mezzo di comunicazione più diffuso al mondo. Nel 2021 la stima era di 247 miliardi di email al giorno, ed è statistico che un numero così elevato implichi che un’alta percentuale sia costituita da spamming ed una altrettanto alta percentuale da email con contenuti pericolosi. Imparare a riconoscere il phishing (e lo smishing per gli sms) significa incrementare la sicurezza della rete e diminuire in proporzione le possibilità di essere vittima di attacchi informatici di successo. Non aprire mai allegati sospetti, con estensioni strane, non cliccare su link di cui non si conosce la provenienza, fare attenzione al testo delle email, verificare il mittente sono buone pratiche facilmente applicabili che possono risparmiare tanti problemi e molto denaro.
Buone prassi di sicurezza
Abilitare l’autenticazione multi fattore, cambiare spesso password, effettuare il logout quando ci si allontana dalla propria postazione di lavoro (o almeno inserire un salvaschermo protetto da password), non condividere le credenziali di accesso con nessuno (meno che mai se ci vengono chieste per il tramite di email o sms), non utilizzare mai la stessa password per servizi diversi, non aprire mai link o allegati provenienti da indirizzi di cui non conosciamo l’affidabilità: sono tutte buone prassi di sicurezza, consigli generali per evitare che l’errore dato dal fattore umano causi danni potenzialmente anche molto gravi e spesso possono veramente fare la differenza tra un attacco di successo ed uno che invece si infrange contro le misure di sicurezza che l’Ente è stato in grado di predisporre.
>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento