Madrid, 11 ottobre 2017.- Gli attacchi informatici e le frodi economiche attraverso le nuove tecnologie sono sempre più numerose e complesse. Si calcola che l’impatto della cyber criminalità raggiunge ormai sul piano globale il bilione di euro annui. Il fattore umano non qualificato è l’anello più debole della catena in un programma di sicurezza. Perciò, nel Gruppo Codere ci armiamo insieme contro questo rischio grazie ad un corso di formazione e consapevolezza in cybersicurezza che comincia questo ottobre e si prolungherà il prossimo anno e mezzo.
Perché abbiamo bisogno di formazione in cybersicurezza?
La moltiplicazione di cyberattacchi e reati su Internet rende evidente la vulnerabilità delle aziende, che hanno sempre una maggiore probabilità di subire un cyberattacco. Alcuni dei casi con maggiore ripercussione mediatica sono stati Wannacry –che ha avuto un’enorme espansione, globale e massiccio- od il più recente Equifax (azienda statunitense di informazione su solvibilità finanziaria), vittima di un attacco volontario dopodiché ha ammesso che un accesso illegale ai suoi database può aver reso accessibile l’informazione di circa 143 milioni di persone.
In entrambi i casi, le conseguenze per le aziende sono state altamente gravi, non solo in termini economici, ma anche di logoramento della sua immagine e danno alla fiducia del pubblico. Anche in entrambi i casi i dipendenti non consapevoli degli eventuali rischi hanno avuto anche un ruolo di spicco nell’accaduto. Basta con aprire un messaggio di posta infetto, fare clic su un link infetto, o navigare su pagine di sospetta fama che iniettino il virus nel computer, per mettere a repentaglio la sicurezza dell’azienda e dei dati in loro possesso.
La strategia più efficace è ovviamente agire d’anticipo con i piani di formazione che ci consentano di conoscere e renderci consapevoli sui punti chiave di sicurezza, ed implementare così le giuste misure per l’adatta protezione dell’informazione nello svolgimento della nostra attività. Con questo obiettivo, grazie allo sforzo dei dipartimenti di Sicurezza IT e Risorse Umane del Corporate, Codere ha sviluppato una piattaforma online di formazione rivolta a tutti i dipendenti, che include i principali aspetti legati alla sicurezza e la privacy dei dati.
“È già da tempo che abbiamo rilevato una necessità su temi di sicurezza informatica. Penso che tutti nella nostra organizzazione condividono l’opinione che ora più che mai questa formazione sia necessaria. Perciò, da questo mese invieremo questa informazione a tutte le nostre business unit grazie alla nuova piattaforma”, spiega Joaquín Guijarro, direttore di Formazione, Selezione e Sviluppo del Corporate.
Da parte sua, José Luis González, direttore di Sicurezza IT e promotore anche del progetto, spiega che “nel quadro del Piano di sicurezza che stiamo sviluppando, che include l’implementazione di nuovi strumenti che ci diano più capacità di visibilità e monitoraggio –le quali si tradurranno in maggiori capacità di previsione di incidenti-, diamo inizio questo corso di formazione, volto al miglioramento della sicurezza dell’azienda ed alla protezione personale nella società digitale in cui viviamo”.
Di che cosa tratta questo corso?
Ci sono due percorsi diversi, che verranno offerti a seconda del profilo del collaboratore –sulla base della sua responsabilità e l’uso che faccia delle nuove tecnologie ed Internet nella sua attività quotidiana. La stessa piattaforma ci assegnerà il piano più adatto quando inseriremo il nostro nome utente e password.
Ciascuno dei percorsi è composto da quattordici moduli, che si faranno con ricorrenza mensile, nei prossimi quattordici mesi. Ogni dipendente riceverà un messaggio di posta elettronica con l’invito a fare la formazione corrispondente al mese e la piattaforma offrirà anche altri moduli aggiuntivi, per le persone che vogliano ampliare le conoscenze su questo ambito. I moduli si fanno in circa dieci minuti e includono esempi, possibili situazioni, prove e mini-giochi. Nel caso di dover abbandonare un modulo prima della conclusione, quando torniamo sul sito il corso riprenderà dall’ultima schermata su cui avevamo lavorato e potremo continuare da quel punto.
Attraverso questi moduli impareremo concetti sulla sicurezza nella posta elettronica, protezione di informazione segreta, uso di USB, navigazione sicura, phishing, social media, ecc…
Quali sono i tipi di reato più dannosi?
Oggi ci sono tre tipi di reati particolarmente dannosi per la società. In primo luogo, abbiamo il ransomware o criptoware. “Si tratta di un attacco indiscriminato. Nel caso in cui la persona interessata sia un cittadino comune, il riscatto può essere tra i 100 e 600 euro, ma se il criminale rileva che si tratta di un’azienda, viene chiesto un riscatto più elevato. Il pagamento adesso di solito si fa con la valuta virtuale bitcoin”, spiega José Luis González.
Il secondo tipo è la cosiddetta frode del CEO aziendale, un reato particolarmente pensato per le aziende. “Si possono fare attraverso due modi. Da una parte l’attacante accede alla posta del dirigente grazie al phishing (metodo che i cybercriminali usano per igannare l’utente e riuscire a fargli diffondere informazione personale, come password, dati di carte di credito e della sicurezza sociale o numeri di conti in banca). Una volta dentro, cerca accordi commerciali con altri fornitori affinché in un momento dell’operazione venga chiesto il pagamento in un altro conto appartenente al criminale.
L’altro tipo è un lavoro di ricerca attraverso le risorse aperte (LinkedIn, Facebook, Twitter, Instagram, ecc…), inviando un messaggio di posta in un momento preciso per soppiantare l’identità del dipartimento di acquisti. I soldi che si possono ottenere dipendono tanto delle operazioni in corso dell’azienda. Noi in Codere abbiamo avuto diversi attacchi di questo tipo. Tra cui nel Casinò Carrasco, dove hanno soppiantato la personalità del nostro presidente, José Antonio Martínez Sampedro, tramite un messaggio di posta falso, in cui chiedevano al direttore finanziario di fare un bonifico in un conto, aggiungendo che era un’operazione strategica e che quindi dovrebbe essere confidenziale. Per fortuna, la persona che ha ricevuto il messaggio ha sospettato e l’attacco non ha avuto alcun successo”, riconosce José Luis.
Il terzo è malware bancario (software che viene installato per rubare i dati finanziari o di carte di credito per fare operazioni) ed è indirizzato sia agli enti finanziari che agli utenti.
“In tutti i casi si tratta di una guerra asimetrica, in cui una sola persona può fare tanto danno a tante persone. Un hacker può fallire nel 99% delle occasioni, però avendo successo nell’altro 1%, ha già vinto. I vantaggi sono sempre dalla parte dell’attaccante, perché attuare è sempre più facile che difendersi. Lo sforzo dell’attacante –anonimo, silenzioso, che sceglie il momento- è inferiore a quello che bisogna fare per proteggersi. È perciò che la corsa tra le tecniche dei cybercriminale e le difese, non hanno alcun fine. È la vecchia dicotomia tra la freccia e lo scudo; più forte è la difesa sviluppata, più potente sarà l’arma a danneggiarla”, conclude José Luis González.
