Lavoro e sicurezza: con lo smartworking il rischio è informatico

In queste settimane di emergenza gli italiani hanno scoperto un nuovo termine: smart working. Il lavoro da remoto, modalità utilizzata abitualmente in Italia solo dal 3,6% dei lavoratori secondo una recente indagine Eurostat, è diventata l’unica alternativa per milioni di persone nel nostro Paese. Un cambio di rotta forzato e, in alcuni casi, improvvisato, che nasconde qualche insidia: non solo problemi di produttività e strumenti a disposizione, ma anche di sicurezza informatica, soprattutto nel caso di attività che portano a gestire dati sensibili o a maneggiare documenti riservati.

Sicurezza informatica e imprese. Secondo il report Allianz Risk Barometer 2020 i rischi informatici, per la prima volta, sono percepiti dalle aziende come la minaccia numero uno. E i dati confermano che c’è ragione di preoccuparsi: in Italia, secondo il nono studio annuale di Accenture Security, il costo medio annuo per azienda delle violazioni della sicurezza informatica ha raggiunto gli 8 milioni di dollari, 13 milioni per azienda a livello globale. E stando ai dati diffusi da un altro Report, presentato in occasione dell’edizione 2020 del World economic forum a Davos, si stima che entro la fine del 2021 i danni economici relativi all’attività di cyber criminali potrebbe aggirarsi attorno ai 6.000 miliardi di dollari nel mondo. Ad attacchi sempre più sofisticati e all’aumento della superfice di attacco (visto il moltiplicarsi di dispositivi connessi alla rete) si sono aggiunti, nelle ultime settimane, i pericoli derivati all’emergenza Covid-19.

A causa della catastrofica situazione che sta vivendo il nostro paese, sospenderemo temporaneamente attacchi ai siti istituzionali. Questo non significa che non riprenderemo la nostra lotta.Una tregua è doverosa in questo momento. Anzi lanceremo presto #OpMigration Stay Tuned!

— Anonymous Italia (@Anon_ITA) March 11, 2020

Gli attacchi al tempo del Covid-19. Con questo messaggio l’11 marzo Anonymous Italia annunciava una tregua alle istituzioni italiane, per non aggiungere ulteriori problemi a una situazione già di per sé critica. Ma non tutti hanno seguito questa stessa filosofia: “Mentre Anonymous in Italia annunciava una tregua, – ha commentato per noi Silvio Ranise, responsabile della ricerca sulla Cybersecurity della Fondazione Bruno Kessler di Trento – altri hacker non hanno esitato a portare attacchi a strutture sanitarie come ad esempio un ospedale Ceco, che tra le altre cose svolge attività di verifica dei tamponi del Coronavirus.  Se fosse confermato, questo penso vada oltre l’atto criminale in una situazione critica come quella che stiamo vivendo, non solo nei confronti dei pazienti ma anche del personale medico che rischia moltissimo in prima persona. Penso pertanto che le attività più a rischio siano proprio quelle sanitarie e, data la situazione, l’impatto sulla società di un attacco cyber potrebbe essere drammatico”.
Ma oltre agli obiettivi istituzionali, ad essere in pericolo sono anche i privati. In moltissimi casi il trend topic Covid-19 è stato utilizzato per attirare le persone in trappole informatiche ben architettate, delle vere e proprie campagne malware.
Ma quali rischi si presentano se siamo collegati da casa con strumenti aziendali? Come fronteggiarli?

Meglio utilizzare strumenti aziendali. “Il tessuto produttivo italiano – ha commentato Ranise – non era preparato e pertanto si cerca di far fronte ad una situazione inedita. Si sta facendo ricorso a tutti gli strumenti a disposizione inclusi quelli personali per poter contribuire almeno in parte alla produttività delle aziende”. Ma questo cosa comporta? La prima insidia arriva dagli strumenti: molti dipendenti sono costretti a lavorare da casa con dispositivi personali, facilmente attaccabili. I rischi sono diversi, dalla presenza di antivirus “deboli” (sempre che siano presenti) all’utilizzo di software non aggiornati e vulnerabili fino alla connessione con reti e modem non sicuri.

Rete aziendale e collegamenti dall’esterno. Dopo la protezione del dispositivo, infatti, è la rete la questione più spinosa: l’accesso remoto alla rete aziendale amplia la superfice d’attacco ed è importante pensare a come proteggere i dati in transito, così che non siano accessibili a terzi. In questo senso, una soluzione potrebbe essere rappresentata dall’utilizzo di servizi di cloud, che deve garantire sicurezza e affidabilità.

Come per tutti, servirebbe formazione. Come detto questa conversione al lavoro da remoto è stata obbligata, improvvisa e, per certi versi, improvvisata. Oltre agli strumenti, all’interno delle stesse aziende è mancata la giusta formazione per preparare i dipendenti allo smartworking, anche sul piano della sicurezza informatica. Dalle questioni all’apparenza più banali, come l’impostazione di password sicure, fino a quelle più tecniche legate all’utilizzo di piattaforme specifiche o l’accesso a reti, sarà necessario correggere il tiro in corsa, anche perché i tempi dell’emergenza potrebbero prolungarsi. Sarà comunque l’occasione per iniziare a concepire un nuovo modo di lavorare: “dopo che ci saremo lasciati la crisi sanitaria alle spalle, – conclude Ranise – potremmo riflettere a come reimpostare il nostro rapporto con il lavoro.  In questo momento, penso che la priorità debba essere la sicurezza (inclusa quella informatica) delle infrastrutture critiche del nostro paese e delle supply chain, in particolare quelle della sanità e dei servizi essenziali”.