Nelle scorse “pillole” abbiamo fornito una panoramica delle minacce che affliggono aziende di ogni dimensione e settore.

Oggi vogliamo concentrarci sulla sicurezza informatica per studi professionali.

Gli studi gestiscono dati assai preziosi e delicati.

Contratti, fatture, estratti conto, scritture private, visure: il rischio non è solo il blocco delle operazioni ma anche il furto di questi dati. Informazioni che potrebbero essere rivendute a concorrenti e malintenzionati di qualsiasi tipo.

Ricordi la falla nei sistemi dell’Agenzia delle Entrate? A nessuno piace l’idea di avere i propri dati personali e fiscali alla mercé di tutti.

Ma come difendersi?

In un contesto di obbligatorietà del GDPR dal 25 Maggio 2018, con sanzioni molto pesanti per chi non denuncia il furto di dati sensibili entro le 72 ore dall’attacco, gli studi professionali non possono fare tutto da soli per ridurre i pericoli informatici. Pensare solo ai semplici antivirus e ai firewall, peraltro indispensabili, vuol dire non aver compreso la portata del fenomeno.

È necessaria una collaborazione con team di esperti in materia di protezione di dati sensibili, capaci di mappare tutte le attività a rischio e definire i processi per ridurre i rischi di sicurezza.

Il tutto, naturalmente, parametrato alle dimensioni della realtà da proteggere, in modo da dotarsi di una soluzione sì adeguata ma anche sostenibile economicamente.

Per studi di ogni dimensione è necessaria una gestione globale orientata alla sicurezza, che si basi da una parte sull’investimento in nuove tecnologie, dall’altro sulla formazione delle risorse interne, nell’ottica di una prevenzione degli attacchi.

Più un’infrastruttura informatica è vecchia e non modernizzata e più è alla mercé di attacchi che sfruttano i punti deboli di sistemi operativi e applicativi non aggiornati.

Occorre quindi adottare soluzioni che consentano la gestione e protezione della navigazione internet e della Posta Elettronica Certificata, che assicurino il regolare backup dei documenti e che proteggano i dati mediante tecnologie avanzate, compresa la crittografia di messaggi e file.

Ma, allo stesso tempo, è anche necessario formare i collaboratori affinché nello studio aumenti la consapevolezza sui fenomeni di attacco e la dimestichezza nell’uso di questi nuovi strumenti: per usare un’espressione diventata comune negli ultimi 12 mesi, bisogna ricorrere alla zero trust, cioè non fidarsi dei documenti allegati alle mail, verificando sempre le loro estensioni, e non aprire senza aver prima verificato i link nel corpo delle mail.

Particolare importanza riveste il tema dei dispositivi personali (smartphone, tablet e simili) che permettono di lavorare comodamente in mobilità ma che costituiscono anche una porta di accesso ai dati dello studio.

Conoscendo bene i rischi, gli Studi professionali sono oggi nelle condizioni ideali per agire molto rapidamente, adottare le giuste soluzioni e ottemperare alle normative.

Conclusione

E il tuo studio? Quali passi sta facendo per mettere in sicurezza i dati dei propri clienti?

Per scoprirlo, puoi richiedere il Suo Check-Up Aziendale.

Cosa otterrai?

Il Check up del tuo studio analizza tutte le componenti che determinano la sicurezza informatica, crea le premesse per la definizione delle procedure di salvaguardia dei dati e di quelli dei clienti e suggerisce i miglioramenti necessari per ottenere la protezione migliore della tua azienda.

Se c’è una tematica che lo scorso anno è stata più volte riproposta dai mezzi d’informazione, oltre all’emergenza sanitaria, è quella legata agli attacchi ransomware.

Sono infatti in crescita a livello globale gli attacchi che cifrano i dati e i sistemi delle aziende, con richiesta di pagamento di un riscatto.

Ma un attacco informatico non vuol dire solo riscatto da pagare.

Un attacco informatico significa tempi di inattività, dati fiscali e personali dei clienti a rischio, ore di lavoro del personale, costi associati a dispositivi e rete, ritardi verso il fisco, clienti insoddisfatti, perdita di fatturato, danno d’immagine e danni derivati dalla non conformità legale connessa alla sicurezza sui dati.

Il costo totale di riparazione dei danni di un attacco di ransomware è in realtà 10 volte superiore alla somma di riscatto richiesta.

Purtroppo, il pagamento del riscatto non garantisce la restituzione totale dei dati e, anche qualora venissero restituiti, non sempre viene mantenuta l’integrità dei file.

Alcuni esempi celebri

Lo confermano il caso Luxottica dove, oltre a un arresto della produzione e della logistica, l’azienda ha visto pubblicare parte dei suoi dati sensibili come prova della violazione; oppure la vicenda in cui è protagonista il comune di Rieti, a cui i pirati informatici hanno sequestrato tutti i portali telematici della sede municipale.

Il gruppo Campari, invece, ha subito il furto di 2 terabyte di dati, tra cui quelli sensibili di più di 4.000 dipendenti.

Prendendo un esempio più vicino a chi lavora in uno studio professionale, potremmo menzionare l’attacco subito dallo studio di commercialisti a Battipaglia.

Si è trattato del potente virus cryptolocker, un ransomware in grado di inibire pc e server dell’ignaro utente di turno.

Pare che il virus sia entrato nel sistema da una mail con un allegato pdf fuorviante. La segretaria dello studio avrebbe aperto la mail e, una volta scaricato l’allegato, i tre computer dello studio sarebbero diventati inaccessibili.

In questo caso, i commercialisti campani hanno deciso di non pagare la cifra del riscatto, rimboccarsi le maniche e compilare nuovamente le dichiarazioni dei redditi di 157 clienti entro la scadenza stabilita dal fisco.

Conclusione

Questo è per dimostrare che sono i grandi a fare notizia, ma non i soli a venire attaccati.

Ora che conosci i rischi, sai quali sono le misure giuste da adottare per proteggere il tuo studio?

Scoprile nel prossimo articolo!

In seguito ai sempre più frequenti attacchi informatici a cui le imprese sono soggette ogni giorno, abbiamo deciso di mettere sotto la nostra lente di ingrandimento i rischi informatici per studi di commercialisti.

Abbiamo realizzato una serie di “pillole”, ovvero brevi comunicazioni informative, nelle quali forniremo approfondimenti esclusivi e un’analisi delle esperienze vissute da aziende del Suo stesso settore.

Scopriremo insieme cosa succede durante un attacco, l’impatto che questo ha su chi lo subisce, quali sono le somme effettive versate come riscatto e la percentuale di dati che si riesce a recuperare dopo il pagamento.

Forniremo un’accurata panoramica del mondo degli studi professionali, elencando anche una serie di best practices utili a ridurre il rischio di attacco informatico alla mole di dati, spesso sensibili, negli studi.

La situazione attuale

Il nostro Partner di cybersecurity Sophos ha condotto il suo sondaggio sugli attacchi ransomware avvenuti nel 2021 e vorremmo condividere i risultati più salienti e la loro relativa interpretazione.

A inizio 2021 Sophos ha incaricato l’azienda Vanson Bourne, specializzata nelle ricerche di mercato, di intervistare 5.400 responsabili IT in 30 Paesi del mondo. I partecipanti appartenevano ai settori più disparati e ad aziende di dimensioni variabili.

Ecco i risultati su cui vale la pena focalizzare l’attenzione:

• Il 37% delle organizzazioni intervistate è stato colpito dal ransomware nel 2020
• Il 54% delle organizzazioni colpite sostiene che i cybercriminali sono riusciti nel loro intento di criptare i dati rendendoli inutilizzabili, al fine di potere successivamente chiederne il riscatto
• Il valore medio richiesto come riscatto ammonta a 170.404 $ (valore solitamente variabile in base alle postazioni di lavoro o al numero di documenti criptati)

Rispetto al passato, dove il bersaglio di questa tipologia di attacchi risultavano essere aziende di grandi dimensioni, le analisi di Sophos evidenziano una nuova tendenza in cui a subire gli attacchi sono aziende di qualunque dimensione.

Proprio gli studi di dimensioni più contenute, infatti, rappresentano un bersaglio più appetibile per gli attacchi, perché spesso sono dotati di strutture informatiche non aggiornate (in alcuni casi addirittura obsolete) e perché, non essendo consapevoli del rischio, le risorse interne non mettono in atto le strategie necessarie a proteggere dati e informazioni, sia propri sia dei clienti.

Inoltre, occorre sottolineare come non sia necessario ritenere di essere un bersaglio per diventare vittima del cybercrimine: nella stragrande maggioranza dei casi, infatti, i malintenzionati tentano attacchi non mirati, arrivando a colpire qualsiasi organizzazione conservi dati: un tesoro prezioso di cui impadronirsi, tenere in ostaggio o cedere a terzi.

Per scoprire le dinamiche di un attacco informatico e le vie di fuga adottate da alcune note aziende soggette a furti di dati, leggi il prossimo articolo.