Gli attacchi informatici sempre più sofisticati sono una realtà che bisogna imparare a fronteggiare. Il primo passo dovrebbe essere un corretto approccio alla cybersecurity, che consiste nel tenere gli atteggiamenti corretti per evitare di offrire ai criminali informatici delle occasioni che agevolano gli attacchi cyber. Si parla spesso di security posture e di cyber hygiene, pochi sanno effettivamente in che cosa consistono nel dettaglio.

A chiarire la questione ci ha pensato Samuele Zaniboni, Presales Engineer Manager di ESET Italia, che ha stilato un elenco con dieci cose cosa da non fare per evitare di mettersi nei guai.

Software e password

Nel 2020 sono stati scoperti oltre 18mila bug, più di 50 nuove vulnerabilità software al giorno. Sono proprio le vulnerabilità nei sistemi operativi, nei browser e in altri software ad essere uno dei principali modi in cui i criminali informatici possono attaccare. Abbassare la soglia di rischio è piuttosto semplice: è necessario attivare l'aggiornamento automatico e dare corso tempestivamente all'installazione di tutte le patch che vengono pubblicate.

L'altro punto debole della sicurezza dei sistemi sono le password. Se da un lato è vero che sono troppe da ricordare (circa 100 in media per utente), è altrettanto vero che per proteggere i propri dati sono disponibili i gestori di password e l'autenticazione a due fattori (2FA). Usando entrambi questi strumenti la difesa dal credential stuffing è molto più efficace.

Wi-Fi pubblico, clic compulsivo e siti a rischio

Il Wi-Fi pubblico è una grande risorsa, ma oggi, con il monte di traffico web in continuo aumento nelle offerte degli operatori, non è più indispensabile come un tempo. Farne a meno permette di contenere i rischi legati al furto delle identità e dei dati bancari. Qualora ci si trovasse in una condizione di dover per forza usare Wi-Fi pubblico, meglio evitare di accedere ad account importanti come quelli bancari e aziendali.

Inoltre, navigando online bisogna sempre prestare attenzione a non accedere a siti non protetti, ossia a quelli che non sfruttano il protocollo HTTPS (indicato con un lucchetto nella barra degli indirizzi), e che quindi non usano la crittografia per proteggere il traffico che va dal browser al sito di destinazione. HTTPS offre una ragionevole garanzia di sicurezza, ma non costituisce una garanzia di affidabilità al 100%. Per questo è fondamentale applicare sempre un sano principio di sfiducia e prestare attenzione a dove si clicca.

Quest'ultima regola vale a maggior ragione con le email: il phishing è una delle minacce informatiche più prolifiche. Ogni richiesta, soprattutto se ha carattere di urgenza, dev'essere valutata con freddezza e calma, e indicativamente bisogna evitare il clic compulsivo su qualsiasi link contenuto nelle comunicazioni. La regola per contrastare questi attacchi è pensare prima di cliccare. Controllare il mittente dell’email, assicurarsi che sia legittima, e se si ha un dubbio non fare nulla.

Protezione dei dispositivi e backup

Oggi ogni dispositivo deve avere una protezione anti-malware a pagamento, erogata da un produttore riconosciuto e apprezzato di sicurezza informatica. Non solo i PC: devono essere parimenti protetti i dispositivi mobili, i tablet e tutti gli oggetti IoT della smart home. Non bisogna infatti dimenticare che assistenti vocali, smart TV e telecamere di sicurezza sono un obiettivo più che attraente per i criminali informatici. Per tutti è necessario impostare una password complessa, proteggerne l'accesso e installare gli aggiornamenti firmware.

Non ultimo, anche il backup è una forma di protezione, ed è fondamentale per fronteggiare i ransomware che sfruttano la crittografia per impedire l'accesso ai dati. I backup regolari, secondo la regola del 3-2-1, sono indispensabili per garantirsi sempre un accesso ai propri dati.

Condivisione dati

Altra nota dolente della cyber security è la facilità con cui si condividono i dati. Può riguardare la condivisione con terzi (siti, telefonate, social), sia la commistione fra la propria attività lavorativa e la vita privata, soprattutto in un'epoca di passaggio al lavoro ibrido come quella che stiamo vivendo.

Pur usando lo stesso computer per lavoro e per svago, email e password di lavoro non dovrebbero mai essere impiegate per registrarsi su siti di ecommerce. E qualsiasi strumento usato per navigare online dovrebbe essere protetto e monitorato attivamente. Non solo: per non cadere vittima di truffe, bisogna guardarsi da qualsiasi fonte che richieda dati personali: siti sospetti, persone al telefono, SMS, messaggi sui social.