Studi professionali e cyber attacchi: è sbagliato pensare di essere troppo piccoli per essere a rischio

29/04/2019

studi-professionali-cyber-attacchi-sbagliato-pensare-essere-troppo-piccoli-per-essere-rischio.jpg

Gli Studi professionali di qualsiasi dimensione gestiscono quotidianamente dati estremamente preziosi e delicati. Estratti conto, contratti immobiliari, spese mediche, visure: sono tutti esempi di documenti dei clienti conservati negli archivi (sempre più spesso digitali e online) la cui sicurezza e protezione può essere messa a rischio.
Pensi che il tuo studio sia troppo piccolo per essere preso di mira dai cybercriminali? Niente di più sbagliato: proprio gli studi di dimensioni più contenute, infatti, rappresentano un bersaglio più appetibile per gli attacchi, perché spesso sono dotati di strutture informatiche non aggiornate (in alcuni casi addirittura obsolete) e perché, non essendo consapevoli del rischio, le risorse interne non mettono in atto le strategie fondamentali utili a proteggere dati e informazioni.
Inoltre, occorre sottolineare come non sia necessario ritenere di essere un bersaglio per diventare vittima del cybercrimine: nella stragrande maggioranza dei casi, infatti, i malintenzionati tentano attacchi non mirati arrivando a colpire qualsiasi organizzazione conservi dati, un tesoro prezioso da rubare, tenere in ostaggio o cedere a terzi.
Come vedremo, anche per gli studi piccoli è necessario intervenire su un doppio fronte: da una parte sulla dotazione di strumenti di sicurezza informatica, dall’altro sulla formazione delle risorse interne.

La minaccia: cyber attacchi in crescita

Il cybercrimine è tristemente sempre più attivo. L’ultimo rapporto dell’Associazione italiana per la sicurezza informatica (Clusit) rileva un drastico aumento degli attacchi informatici: si passa da una media di 88 nel periodo 2011-2017 ai 129 del 2018, con un’impennata (+38%) dell’anno scorso rispetto al 2017. Esistono molteplici forme di attacco, anche se le più rilevanti per gli studi professionali sono:
  • Phishing: truffa informatica effettuata inviando un'e-mail con il logo contraffatto di un’azienda o istituto di credito, al fine di carpire dati riservati come password e codici di accesso
  • Ransomware: malware che cripta i file rendendoli inaccessibili, chiedendo un riscatto (spesso in bitcoin) per fornire una chiave per sbloccarli. È il caso dei tristemente noti CryptoLocker, BitLocker e WannaCry.
 

Rischi e costi degli attacchi informatici

Per uno studio professionale, i costi degli attacchi informatici sono legati:
  • Al blocco dell’operatività dello studio (specialmente nel caso di ransomware)
  • Alle attività del personale chiamato a individuare la violazione e gestire l’emergenza
  • Agli obblighi di notifica della violazione al Garante e ai titolari dei dati (sanciti dal GDPR): il nuovo regolamento privacy tra l’altro inasprisce le sanzioni per chi non denuncia furti di dati sensibili entro le 72 ore da un attacco informatico.
  • Al danno reputazionale, spesso sottovalutato: l’eventuale perdita di clienti a causa dell’episodio e le conseguenti spese di comunicazione sostenute per recuperare credibilità.
 

Come difendersi?

Per studi di ogni dimensione è necessaria una gestione globale orientata alla sicurezza, che si basi da una parte sull’investimento in nuove tecnologie, dall’altro sulla formazione delle risorse interne, nell’ottica di una prevenzione degli attacchi. Più un’infrastruttura informatica è vecchia e non aggiornata, più il sistema è attaccabile.
Occorre quindi adottare soluzioni che consentano la gestione e protezione della navigazione internet e della Posta Elettronica Certificata, che assicurino il regolare backup dei documenti e che proteggano i dati mediante tecnologie avanzate, compresa la crittografia di messaggi e file.
Ma, allo stesso tempo, è anche necessario formare i collaboratori affinché nello studio aumenti la consapevolezza sui fenomeni di attacco e la dimestichezza nell’uso di questi nuovi strumenti. Particolare importanza riveste il tema dei dispositivi personali (smartphone, tablet e simili) che permettono di lavorare comodamente in mobilità ma che costituiscono anche una porta di accesso ai dati dello studio.
Conoscendo bene i rischi, gli Studi professionali sono oggi nelle condizioni ideali per agire molto rapidamente, adottare le giuste soluzioni e ottemperare alle normative.
E il tuo studio? Quali passi sta facendo per mettere in sicurezza i dati dei propri clienti?

Luca Bombelli

Sistema IT
Faccio parte di Si-Net dal 2007, ma è da quando sono bambino che metto le mani su tutti i computer che mi capitano a tiro. Per questo motivo ho fatto di un hobby una professione, ed è stato grazie a Si-Net se sono riuscito ad accumulare esperienza sulle piccole e medie reti informatiche. Oggi progetto e creo reti di medie dimensioni, mi occupo di marketing e coordino il mio reparto tecnico.
 
Il mio tempo libero? Lo dedico tutto a grandi passioni come i videogame e lo sport. Amo viaggiare, per conoscere posti sempre nuovi.