Le piccole e medie imprese sono prese di mira sempre più di frequente dalla criminalità informatica rispetto alle grandi aziende. Ma sono le piccole organizzazioni non-profit a mostrare un'incidenza ancora maggiore di attacchi di gravità elevata e critica. La tendenza a concentrare gli attacchi su aziende più piccole può sembrare controintuitiva. Per i criminali informatici ci sono obiettivi più redditizi rispetto ad una piccola organizzazione non-profit, inoltre, colpire grandi obiettivi commerciali ha meno probabilità di generare indignazione pubblica. Perché quindi questo settore rappresenta un bersaglio così desiderabile? Per cinque principali motivi.

1. Sono più deboli

Gli aggressori sanno che le organizzazioni non-profit operano in condizioni di limitata disponibilità finanziaria e quindi sono più propense ad avere difese informatiche deboli. Tutte le aziende hanno vincoli finanziari, ma la spinta a contenere i costi è particolarmente accentuata per organizzazioni non-profit, dove il denaro speso per le attività operative è visto come denaro che non può essere impiegato per sostenere la mission aziendale. Le organizzazioni non-profit sono restie a impegnare risorse per le spese generali, e molti donatori esitano a contribuire a spese non direttamente collegate ai progetti che queste sostengono.

Secondo il National Council of Nonprofits, l'88% dell’1,3 milioni di aziende non-profit americane opera con un budget annuale di 500.000 dollari o meno. Vista la pressione a spendere quel denaro per fornire servizi e pagare il personale, il budget disponibile per le spese al di là dei progetti principali è scarso. Purtroppo, la sicurezza informatica rientra tra le "spese generali". I fondi per le tecnologie di sicurezza, o per gli aggiornamenti IT in generale probabilmente non rientrano tra le priorità assolute. Di conseguenza, molte organizzazioni non-profit - soprattutto quelle più piccole - non dispongono di difese adeguate per la sicurezza informatica, e sono quindi vulnerabili agli attacchi.

2. Hanno poche risorse e poca cultura cyber

I problemi di budget si traducono in PC e sistemi operativi obsoleti e in una formazione limitata in materia di sicurezza informatica. Il panorama delle minacce alla sicurezza informatica è in rapida e costante evoluzione. Computer, sistemi operativi e altre tecnologie come smartphone e tablet devono essere aggiornati per evitare l’aumentare delle vulnerabilità. Qualsiasi apparecchiatura connessa e lasciata priva di patch offre all'avversario l'opportunità di accedere all'organizzazione.

Le aziende profit conoscono i costi dei cyberattacchi e i danni che una violazione può causare. A seconda del settore, spendono dal 3% al 13% del loro fatturato annuale per l'IT. Molte organizzazioni non-profit non sono in grado di raggiungere questo volume di spesa. I problemi di budget che riguardano la cybersicurezza si estendono anche all'IT in generale. Anche il personale ne risente: le organizzazioni non profit infatti spesso si affidano a volontari per ricoprire diversi ruoli. A causa dei vincoli finanziari, la formazione sulla cybersecurity è superficiale, ammesso che avvenga. Questo aumenta il rischio di subire attacchi tramite tattiche comuni come il phishing.

3. Sono una fonte di dati preziosi

Sebbene siano spesso molto più piccole di un’azienda tipica, le organizzazioni non-profit rimangono un obiettivo valido per gli avversari. Ad esempio, alcune organizzazioni non-profit che vendono merci o servizi sui loro siti web memorizzano le informazioni relative agli acquisti sulla loro rete. Infiltrarsi all'interno di uno dei loro server potrebbe portare gli aggressori a raggiungere informazioni bancarie e carte di credito dei donatori. Sebbene non sia neanche lontanamente paragonabile alla portata di un grande retailer come Amazon, un'organizzazione non-profit offre agli avversari l'opportunità di rubare dati di clienti che possono poi utilizzare per perseguire altri obiettivi, ed eventualmente dimostrarne il valore a reti di hacker più grandi e prolifiche.

I dati finanziari non sono le uniche informazioni a rischio. Molti donatori possono essere persone o aziende il cui status e/o le cui risorse li rendono bersagli potenziali. L'accesso a questi dati può essere un motivo sufficiente per attaccare una non-profit. È anche molto probabile che i dati dei dipendenti siano archiviati localmente, comprese alcune informazioni personali come numeri di previdenza sociale, indirizzi, numeri di telefono e informazioni bancarie. Questi dati possono essere venduti sul dark web, causando gravi conseguenze come il furto di identità, perdite finanziarie, impattando sul punteggio creditizio dei dipendenti colpiti.

Purtroppo, sono molti gli esempi di organizzazioni non-profit prese di mira dai criminali informatici. Nel 2019, un attacco ha preso di mira una delle maggiori organizzazioni non-profit della zona occidentale di New York, che ha rivelato dati sensibili tra cui nomi, indirizzi, numeri di previdenza sociale, dati finanziari, identità governative, informazioni mediche e dettagli sull'assicurazione sanitaria di 1.000 clienti.

4. Sono obiettivi simbolici

Le organizzazioni non-profit possono essere obiettivi politici o terroristici a seconda delle cause che rappresentano. Non tutti i cyberattacchi sono motivati dal profitto. In alcuni casi entrano in gioco elementi politici o sociali, soprattutto quando l'obiettivo è un'azienda non-profit. Il sostegno a determinate cause può rendere le organizzazioni non-profit un bersaglio per i cosiddetti "hacktivisti", o addirittura per i cyberattacchi sponsorizzati da uno Stato schierato contro una determinata causa.

In questi casi, l'obiettivo è spesso quello di distruggere l'organizzazione non-profit e impedirle di portare a termine la propria missione. Un esempio lampante è l'invasione russa dell'Ucraina. Nel periodo precedente alla guerra, CrowdStrike ha rilevato un aumento significativo di attacchi malware contro aziende e media ucraini. È stato riferito che anche alcune aziende umanitarie impegnate nel rifornimento di aiuti ai rifugiati ucraini e altre organizzazioni non governative (ONG) sono state oggetto di attacchi informatici. Un altro caso si è verificato alla fine del 2022, quando Amnesty International ha subito una violazione dei dati imputata al governo cinese, che Amnesty ha criticato per le violazioni dei diritti umani.

5. Permettono supply chain attack

Le organizzazioni non-profit fanno parte della software supply chain. È probabile infatti che dispongano di credenziali di accesso, o di accesso online ad altre aziende con cui intrattengono rapporti commerciali, per ordinare prodotti e servizi, elaborare pagamenti e condurre operazioni finanziarie. Queste connessioni, unite alla debolezza delle loro misure di sicurezza, consentono agli aggressori di pensare alle organizzazioni non-profit come un trampolino di lancio verso obiettivi più redditizi. Potrebbero infatti ottenere l'accesso a reti più deboli e usarle per stabilire furtivamente un punto d'appoggio nei confronti di obiettivi più grandi e più protetti.

Come difendersi

Il messaggio è chiaro: la missione di un'organizzazione non-profit e il suo status di ente benefico non garantiscono protezione dai cyberattacchi. Anzi, le analisi dimostrano che queste aziende sono bersagli strategici e che vengono attaccate con una frequenza allarmante. Anche le piccole organizzazioni non profit possono essere oggetto di un attacco, con risultati devastanti. La protezione per la sicurezza informatica non è una scelta, ma un obbligo. Purtroppo gli antivirus tradizionali utilizzati dalle PMI, comprese molte organizzazioni non-profit, non sono in grado di tenere il passo con il ritmo e la complessità dei ransomware e dei cyberattacchi moderni.

Le organizzazioni non-profit potrebbero adottare soluzioni di cybersecurity facili da usare e basate sul cloud, più complete degli strumenti AV, ma che non richiedano le competenze e le risorse dedicate di una complessa piattaforma di analisi delle minacce. Ciò vale particolarmente per le organizzazioni non-profit più piccole, che dispongono di un budget IT inferiore e di un personale meno esperto in materia di sicurezza informatica. Le organizzazioni non-profit dovrebbero individuare sistemi di sicurezza per gli endpoint che siano stati convalidati da esperti di settore indipendenti, come Gartner, Forrester e IDC, o che siano stati testati e collaudati da laboratori e in test pratici come SE Labs.

Non bisogna trascurare la possibilità di un supporto pro-bono in materia di cybersecurity. Le organizzazioni non-profit con un ridotto numero di endpoint (laptop, computer, server, smartphone, stampanti e altri dispositivi che si connettono alla rete) possono richiedere accesso gratuito alla protezione informatica da parte di aziende leader nel settore della cybersecurity.

Luca Livrieri è Senior Manager, Sales Engineering Southern Europe di CrowdStrike