Le Piccole e Medie Imprese devono rafforzare le misure di sicurezza che le proteggono. L’appello è delle Nazioni Unite, secondo cui le PMI costituiscono il 90% di tutte le aziende a livello globale e contribuiscono al 50% del prodotto interno lordo mondiale. I dati, diffusi in occasione della Giornata Internazionale delle PMI, sono un chiaro monito: senza protezione questi poli economici sono a rischio e con loro una parte consistente dell’economia mondiale.

Il problema è che i budget delle PMI sono troppo rosicati per consentire corposi investimenti in cybersecurity. E non è il solo: spesso nelle aziende di questo tipo non c’è nemmeno una figura dedicata alla cybersecurity. Soprattutto, le PMI non si reputano interessanti per i cyber criminali. E invece gli attaccanti sono molto interessanti: come sottolinea il report di Kaspersky Threats to SMB, i criminali informatici continuano a colpire le PMI con una serie di tecniche sofisticate.

Il numero dei dipendenti delle PMI che si imbatte in malware o software indesiderati, camuffati da applicazioni aziendali legittime, è stato stabile negli ultimi due anni (2.478 nel 2023 rispetto a 2.572 nel 2022), il che significa che i criminali informatici persistono nell’attaccare queste realtà produttive con una grande varietà di metodi, tra cui l’exploit delle vulnerabilità, le email di phishing, i messaggi di testo ingannevoli e persino link YouTube che portano a siti malevoli. L'obiettivo è sempre accedere a dati sensibili.

Secondo i calcoli di Kaspersky, gli exploit sono stati la minaccia più diffusa, con il 63% di rilevamenti nei primi cinque mesi dell’anno. Si tratta di programmi malevoli che sfruttano le vulnerabilità dei software per eseguire i malware, fare escalation dei privilegi e altro. La difesa più efficace contro questo tipo di attacchi è l’installazione tempestiva delle patch non appena vengono diffuse.

Il secondo rischio significativo per le PMI è costituito da phishing e scam, che fanno leva sul social engineering e sulla scarsa formazione di cybersecurity dei dipendenti. Campagne email e stratagemmi vari spingono i dipendenti ad abboccare a esche più o meno credibili come le false pagine di servizi bancari, di spedizione e di credito. Le protezioni automatiche per le email, per gli endpoint e per le credenziali possono essere di grande aiuto, ma non funzioneranno senza un’adeguata formazione a tutto il personale.

Il report di Kaspersky pone l’attenzione anche su un metodo spesso utilizzato per infiltrarsi negli smartphone dei dipendenti, chiamato "smishing", combinazione di SMS e phishing. In questo tipo di attacchi le vittime ricevono un messaggio di testo tramite SMS, WhatsApp, Facebook Messenger, WeChat e altro, contenente un link malevolo. Se l’utente seleziona il link scarica del codice malevolo. Anche in questo caso la formazione gioca un ruolo fondamentale, perché conoscere questo tipo di rischio è il primo passo per riconoscere un potenziale attacco e non darvi corso. Chiudiamo ricordando che per rimediare ai budget risicati, le PMI possono rivolgersi agli MSSP per un servizio gestito scalabile e modulabile.