Intervista sugli attacchi informatici: come proteggere la tua azienda dagli hacker

**Articolo aggiornato l'11/10/2022**

Philipp Jakubowski, responsabile della sicurezza informatica di Trusted Shops e specialista di sicurezza in Internet, risponde alle nostre domande sugli attacchi informatici rivolti alle aziende online.

Quali metodi utilizzano dagli hacker? Come puoi proteggete i dati dei tuoi clienti? Continua a leggere per scoprirlo!

Quali aziende sono in pericolo?

Potremmo avere l'impressione che gli attacchi informatici non ci riguardino o che siano riservati solo alle aziende più grandi, ma non è così. Ogni azienda corre sempre un certo rischio che si verifichino attacchi informatici.

Le tecnologie si evolvono, e così anche la probabilità di attacchi; se si opera online ci si trova di fronte a questo rischio.

"Le aziende che non prendono precauzioni e non mettono la sicurezza al primo posto stanno commettendo un grosso errore".

Quali sono gli attacchi mirati degli hacker alle aziende?

Dobbiamo distinguere tra "attacchi tecnici" e "attacchi sociali".

In un attacco tecnico, gli hacker scansionano il tuo sito web, i tuoi sistemi e le tue reti alla ricerca di lacune di sicurezza per capire dove potrebbero eventualmente entrare.

Durante un attacco sociale, invece, gli hacker cercheranno di utilizzare i tuoi dipendenti come intermediari.

Come vengono utilizzati i dipendenti in un attacco informatico?

Inviando loro un'e-mail fingendosi un collega e chiedendo loro informazioni sensibili.

Un'altra possibilità è che invitino i tuoi dipendenti a cliccare su un link all'interno della e-mail, ad esempio.

Come puoi proteggere la tua azienda da questo tipo di attacchi?

La maggior parte delle aziende è attenta a proteggere i propri sistemi da tutti gli attacchi tecnici, ma dimentica che i dipendenti sono la loro principale linea di difesa.

È quindi fondamentale sensibilizzare il tuo personale sull'importanza della sicurezza online.

Offri ai tuoi dipendenti corsi di formazione per insegnare o ricordare loro le pratiche di sicurezza.

Per proteggere la tua azienda dalle e-mail di phishing, non si dovrebbe:

  • cliccare su link sconosciuti

  • aprire allegati sconosciuti

  • dare informazioni importanti a sconosciuti

Invece, si dovrebbe:

  • essere a conoscenza del fatto che queste e-mail esistono

  • (senza cliccare) controllare l'e-mail del mittente posizionando il cursore del mouse sull'indirizzo

Le piccole imprese sono più al sicuro delle grandi. Non in termini di probabilità, ma piuttosto perché è più facile mantenere una visione d'insieme delle potenziali violazioni della sicurezza.

"Più grande è l'azienda, più complicato diventa. È più facile tenere al sicuro un edificio che una città".

Come puoi essere sicuro che i dati dei tuoi clienti siano protetti?

Crittografa i tuoi dati. La crittografia dei dati dei clienti è l'unico modo per garantirne la protezione. Dovresti farlo non solo con i dati memorizzati sul server, ma anche quando i dati dei clienti vengono trasferiti.

Senza la crittografia, c'è sempre un certo rischio per quanto riguarda la sicurezza dei dati dei clienti:

  • Se si memorizzano i dati su un disco rigido, allora anche tutti coloro che hanno accesso al disco hanno accesso ai dati su di esso.

  • Se si modificano i sistemi di memorizzazione, le impostazioni hardware o anche il webhosting, non si avrà più alcun controllo su ciò che accadrà ai dati memorizzati. Può sembrare ovvio, eppure, in passato è successo anche alle agenzie governative.

  • Il server su cui memorizzi i tuoi dati può anche essere venduto in un secondo momento e quindi non puoi avere modo di sapere in quali mani finirà. Prestare quindi molta attenzione ai termini di cancellazione del contratto.

"Se dovessi riassumerlo in una sola parola: crittografia! Tu devi essere l'unico ad avere il controllo sui dati dei tuoi clienti."

Solo tu dovresti avere la chiave per decodificare e leggere questi dati. Finché non perdi la chiave, sarai al sicuro!

RGPD: è questo il modo migliore per garantire la sicurezza dei dati dei clienti?

Sì e no.

Naturalmente il Regolamento generale sulla protezione dei dati (RGPD o GDPR in inglese) ti dà molti consigli preziosi, ma dovresti vederlo piuttosto come un quadro generale.

Ci sono molti altri dettagli a cui dovresti prestare attenzione quando si tratta di proteggere i dati dei clienti. La crittografia, ad esempio, non è un requisito obbligatorio del RGPD, anche se è altamente raccomandato.

Come puoi rassicurare i tuoi clienti sull'affidabilità del tuo negozio?

Le possibilità a tua disposizione sono molteplici e non tutte hanno direttamente a che fare con la sicurezza informatica.

Ecco una panoramica di ciò che potresti fare:

  • Un sito "user friendly" è un primo importante segno di affidabilità.

  • Protocollo HTTPS: pochi utenti saranno disposti a inserire i loro dati bancari su un sito che non è protetto da questo protocollo.

  • Le condizioni generali di vendita e le avvertenze legali devono essere esposte sul tuo sito in modo chiaro. Naturalmente questo non può garantire l'affidabilità di un sito, ma la loro presenza contribuisce ad un senso di rassicurazione.

  • Recensioni autentiche dei clienti reali: gli utenti leggono le recensioni prima di effettuare un ordine. Si tratta, infatti, di un elemento che rassicura gli utenti riguardo all'affidabilità di un negozio online. Tuttavia, per una sicurezza ancora maggiore consigliamo di consultare il profilo del negozio online sul sito del fornitore di recensioni. Se il sito utilizza i servizi di Trusted Shops, puoi cercare su Google "NomedelSito + recensioni + Trusted Shops" per trovare la pagina del profilo.

  • Un sigillo di qualità conosciuto, come quello di Trusted Shops. Ottenendo il sigillo di qualità potrai mostrare il Trustbadge© sul tuo sito. È un elemento discreto ma facilmente riconoscibile che permette ai clienti di identificare il tuo sito come affidabile.

copertina libro bianco per raccogliere più recensioni

E come posso essere rassicurato come cliente?

Consigliamo di prestare attenzione ai siti con prezzi incredibilmente bassi. Prova a inserire il nome del negozio si Google + "sito falso" o "truffa".

💸 Lettura consigliata: Crimine informatico: siti falsi e truffe, come smascherarli

Cosa fare se qualcuno ti informa di una violazione della sicurezza?

Se qualcuno ti contatta segnalando una violazione della sicurezza sul tuo sito, non andare direttamente dalla polizia.

Per prima cosa, ascoltali attentamente e chiedi al tuo team di indagare ulteriormente.

"La maggior parte di questi "hacker" non sono esseri malevoli che operano nella rete oscura e contemporaneamente attaccano Facebook per acquisire milioni di euro".

Il più delle volte sono studenti di informatica appassionati o persone bisognose di riconoscimento. C'è persino un nome per questo tipo di cyber-attaccanti: ricercatori della sicurezza.

Gli hacker fanno una richiesta di denaro come un riscatto o si limitano a offrire i loro servizi?

Ogni volta è diverso. Alcuni scrivono semplicemente "Ehi, ho trovato una vulnerabilità nel tuo sito web". Altri danno informazioni precise in anticipo e chiedono gentilmente una ricompensa.

Certo, non sarà gratuita, ma di solito non è nemmeno una grossa somma di denaro. Molto spesso si pagano solo circa 20 euro per questo tipo di "indagine", o "consulenza non richiesta".

Può sembrare un po' strano, ma quando si lavora nella sicurezza informatica abbastanza a lungo, ci si abitua.

In ogni caso, bisogna avere una mentalità aperta. Chiamare la polizia non risolverà il problema e non saresti consapevole dei tuoi sbagli se non fosse per loro.

Noi di Trusted Shops, infatti, teniamo conto delle loro informazioni e le analizziamo.

Lo smart working causerà nuove forme di attacchi informatici?

Non ci saranno metodi rivoluzionari che gli hacker inventeranno e utilizzeranno. Tuttavia, useranno questi cambiamenti come base per il loro lavoro.

Crediamo che il rischio di attacchi sociali sia più elevato a causa dell'aumento del lavoro digitale. Con lo smart working la possibilità che terzi abbiano accesso a dispositivi aziendali è più facile.

Man mano che la comunicazione diventa sempre più virtuale e digitale, la maggior parte della comunicazione avviene tramite e-mail e telefono.

Dal punto di vista di un "attacco tecnico", le persone utilizzano il proprio computer per il lavoro, quindi tutte le precauzioni prese non saranno più praticabili (crittografia, antivirus, ecc.).

Allo stesso modo, se un hacker si è già impossessato di un computer privato e il tuo dipendente lo utilizza ora per lavoro, questo potrebbe diventare un problema per la tua azienda.

Chiedi quindi ai tuoi collaboratori di utilizzare il loro computer di lavoro o assicurati che non vengano memorizzati dati sensibili sui dispositivi privati dei tuoi collaboratori.


Grazie Philipp per gli utili consigli!

Abbi cura di te stesso, della tua azienda e rimani informato!

Neuer Call-to-Action

Articolo in lingua originale: Cyberattaques - Comment protéger mon entreprise des hackers ?

11/06/2020

© 2024 Trusted Shops AG  |  Informazioni legali  |  Protezione dei dati  |  Cookies