La nota compagnia aerea EasyJet, famosa in tutto il mondo per i suoi voli low cost, ha rivelato oggi di aver subìto un attacco cyber da parte di ignoti, che ha violato i dati di nove milioni di clienti.
I dati rubati, tra cui indirizzi email, dettagli delle carte di credito e informazioni di viaggio potranno essere utili ai criminali per più scopi: talvolta l’obiettivo è compromettere i dati dei loro clienti e richiedere un riscatto (in un momento in cui le capacità delle aziende sono messe già fortemente alla prova), altre volte invece i dati vengono sottratti e raccolti per essere riutilizzati successivamente, ad esempio per rendere maggiormente personalizzato un attacco di “spear phishing” (ovvero una truffa e-mail mirata tramite cui si ottiene accesso non autorizzato ai dati sensibili). (Per approfondimento leggi anche "Email aziendale e Privacy: cosa sapere")
Un episodio, questo, che ci conferma che gli incidenti sono sempre più frequenti, che la tecnologia non è sempre in grado di fermare gli attacchi e che in caso di incidente gli impatti per i cittadini e per le aziende sono molto alti.
EasyJet ha subito provveduto a contattare i clienti coinvolti, offrendo loro supporto, ed ha bloccato gli accessi non autorizzati.
E’ doveroso per noi però, ancora una volta, innalzare l’allarme sui rischi di truffe online e abusi dei dati personali.
I suggerimenti per gli utenti
I consigli per gli utenti coinvolti (ma anche per chi desidera prevenire questi eventi spiacevoli) sono sempre quelli di:
-evitare di rispondere ai messaggi non richiesti, dato che è molto probabile che i criminali sfruttino la situazione per inviare messaggi di phishing con offerte troppo belle per essere vere;
-controllare regolarmente i propri conti bancari per verificare che non vi siano attività sospette;
-proteggere i propri dispositivi con una protezione di sicurezza affidabile, aggiornando sempre sia il sistema operativo sia le applicazioni;
-utilizzare password uniche e complesse per tutti gli account online.
I suggerimenti per le aziende
Le aziende, dal canto loro, oltre a dotarsi di sistemi di sicurezza avanzati dovrebbero affrontare la sfida della sicurezza investendo in primo luogo in innovazioni come l’intelligenza artificiale, indispensabile per il monitoraggio e la protezione di sistemi digitali molto distribuiti, come quelli che caratterizzano le compagnie aeree.
Inoltre, è fondamentale che si preparino, se non l’avessero già fatto, ad adottare tutta una serie di accorgimenti strategici atti a prevenire eventuali danni causati da attacchi informatici, che potrebbero compromettere sia la loro stabilità sia quella dei loro clienti. Eccone alcuni:
1. Creare un inventario: il primo passo è quello di elencare tutti i sistemi, dispositivi e software in uso dell’azienda.
2. Individuare i sistemi critici: in una prima fase dell’elaborazione delle strategie di cybersecurity bisogna individuare i sistemi critici dell’azienda (le informazioni e i dati vitali), necessari per capire quali politiche adottare per proteggerli.
3. Nominare un referente: per controllare che tutte le strategie scelte siano rispettate, è utile nominare un responsabile che si occupi di coordinare le attività di gestione e protezione delle informazioni e dei sistemi informatici.
4. Formare il personale: imparare a riconoscere gli allegati e-mail, evitare di cliccare sui link pericolosi nelle email o su alcuni pop up e usare solo software personalizzati sono solo alcuni dei punti chiave che vengono analizzati durante una opportuna formazione dei dipendenti sui rischi della cybersecurity, una scelta decisiva per la sicurezza sul web.
5. Fare attenzione al lavoro da remoto: molto spesso le insidie per la sicurezza si nascondono nei pc dei dipendenti che lavorano da remoto sia dal wifi domestico che da un wifi pubblico, anche in questo caso la formazione dei dipendenti diventa necessaria per evitare rischi.
6. Installare antivirus: è fondamentale installare software di protezione (antivirus di rete e anti-malware) su ogni dispositivo aziendale, per farlo nel modo corretto la cosa migliore è affidarsi a professionisti esperti che siano in grado di configurare e ottimizzare la protezione in base ai parametri aziendali e lavorativi. (Per un consiglio e maggiori informazioni leggi anche l'articolo "Antivirus: Se sei SMART hai bisogno di lui!")
7. Aggiornare i software: è buona norma prevedere l’aggiornamento di tutti i software aziendali alle ultime versioni consigliate dal produttore. La presenza di dispositivi e software che non sono più aggiornabili, infatti, mette in pericolo la sicurezza delle reti informatiche.
8. Fare il backup: il salvataggio dei dati è una delle pratiche più diffuse e opportune da ripetere nel tempo per garantire la sicurezza digitale, ricordando poi che i dati vanno conservati in modo sicuro e periodicamente verificati.
9. Stabilire una policy per le password: in qualità di esperti di sicurezza informatica consigliamo di adottare una politica che prevede il cambiamento delle password dal primo login ogni 90 giorni, la “freschezza” delle password contribuirà così a mantenere alto il livello di sicurezza.
10. Fare accessi diversificati: ogni utente deve poter accedere solo alle informazioni e ai sistemi di sua competenza.
11. Diversificare le password: grande attenzione va prestata alle password, ogni account interno aziendale deve averne una diversa dall’altra.
12. Autenticare in due step: una strategia efficace nella cybersecurity è quella dell’autenticazione a due fattori, soprattutto per l’accesso alla posta o ad altri gestionali dell’azienda.
13. Creare password complesse: una delle regole base per la creazione di una password efficace è quella di comporre la stringa con almeno otto caratteri misti di numeri e lettere, maiuscole e minuscole, inoltre è sempre buona norma non inserire all’interno informazioni personali.
14. Non lasciare password in giro: anche se potrebbe sembrare una banalità ci sono molte persone che hanno ancora l’abitudine di scrivere le password su foglietti attaccati al pc…un peccato di leggerezza imperdonabile!
15. Limitare i servizi web offerti da terzi: social network, cloud, email, sono servizi a cui oggi ogni azienda ha bisogno di accedere, tuttavia, sarebbe opportuno limitare l’uso a quelli che sono strettamente necessari.
16. Controllare l’uso dei supporti rimovibili: una delle maggiori minacce alla sicurezza su Internet è rappresentata dai supporti removibili (come le chiavette usb o gli hard disk esterni) che i dipendenti usano per trasferire o conservare informazioni e che potrebbero rappresentare la porta di accesso dei malware nei sistemi informatici aziendali.
17. Proteggere con Firewall: le reti e i sistemi vanno protetti dai rischi di accesso non autorizzato, mediante l’uso di firewall ed altre forme di software anti-intrusione. Anche in questo caso è indispensabile affidarsi a tecnici esperti in grado di studiare la soluzione migliore cucita sulle differenti esigenze aziendali.
18. Comprare un tritadocumenti: spesso capita di lasciare sulla scrivania fogli con dati sensibili che possono essere rubati e usati per attacchi, il tritadocumenti è uno strumento utile per evitare che questo accada.
19. Schermare la cam: i big del tech, come Mark Zuckerberg, hanno l’abitudine di mettere del nastro adesivo davanti la cam del loro laptop per evitare che alcuni hacker possano sfruttare falle informatiche e malware per impossessarsi della webcam e spiare il malcapitato, reperendo così dati utili per ricattarlo.
20. Controllare i post sui social media: sappiamo che non vorreste sentirvelo dire ma Facebook, Twitter e LinkedIn, come Instagram, sono strumenti che purtroppo gli hacker usano per reperire informazioni utili e avviare degli attacchi. Vi consigliamo di rivedere i post pubblicati sui social e prestare molta attenzione al fatto che non contengano alcuna informazione troppo intima o personale.
Come sempre siamo a completa disposizione per qualsiasi chiarimento e supporto potendoci contattare ai nostri recapiti:
Cel. 371 46 37 145 - 371 46 30 129
E-mail: info@enterprise-solutions.net
Tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o ". . ." nella versione Mobile.