Mar21082018

Ultimo aggiornamento06:43:53

Hacker prendono di mira dati delle aziende: rischio anche privacy lavoratori

  • PDF

E' allarme rosso per le aziende, che adesso devono difendere i loro dati dagli attacchi di criminali più o meno esperti, visto che sta germogliando un mercato dove i professionisti del cybercrime, quelli veri, propongono programmi di affiliazione a potenziali "distributori" di ransomware, ovvero virus che bloccano i computer impossessandosi di tutti i dati in esso contenuti, e chiedendo in cambio un riscatto per restituirli che può andare dai 500 ai 2.000 euro.

I venditori di ransomware si trovano spesso nel Dark Web, oppure anche in Internet su siti e forum perlopiù russi dedicati ad attacchi informatici neanche troppo difficili da raggiungere, e assoldano chiunque sia in cerca di soldi facili e che per "entrare nel giro" sia disposto a pagare 100 dollari in bitcoin, ricevendo in cambio un kit di lavoro composto da un file eseguibile da diffondere tramite email alle potenziali vittime, e l'accesso a un pannello di controllo che funziona in pratica da "cassa", attraverso il quale è possibile monitorare i pagamenti provenienti dai malcapitati che sono stati infettati, da cui il cybercriminale mandante trattiene solo una commissione sugli incassi del 15%, lasciando il resto al "rivenditore".

Se fino a poco tempo fa il bersaglio preferito dei ransomware erano gli utenti tradizionali di Internet, l'evoluzione attuale vede nel mirino dei criminali del web anche le aziende ed i professionisti, che nei loro pc e devices possiedono spesso dati preziosi o comunque fondamentali per esercitare le loro attività.

Nei giorni scorsi, è stato infatti scoperto "KeRanger", il primo ransomware completo per Mac OS X che colpisce anche il sistema operativo di Apple molto usato dai professionisti, mentre l'FBI ha segnalato attacchi alle reti aziendali che cercano di installare ransomware e allo stesso tempo cancellare i backup dei dati, per costringere così le aziende a pagare la somma richiesta per riavere l'unica copia dei dati rimasta nelle mani del ricattatore.

Che il pericolo riguardi però da vicino anche le nostre imprese, lo conferma l'ondata di attacchi ransomware che ha colpito 250 aziende di Vicenza, e anche la Polizia Postale della capitale italiana dell'oro, nel darne notizia non ha potuto fare altro che alzare bandiera bianca, affermando che a danno fatto "non c'è nulla da fare, purtroppo, se non pagare“ per decriptatare i dati e rientrarne in possesso.

Le aziende sono quindi chiamate a lavorare sulla prevenzione alzando il livello di protezione dei dati, anche perché le ripercussioni che possono colpire l'impresa sono potenzialmente devastanti, come spiega Nicola Bernardi, presidente di Federprivacy:

"Il vero danno per le aziende colpite non sta tanto nella cifra che viene chiesta loro di pagare, ma lo stato di paralisi in cui si vengono a trovare nell'impossibilità di proseguire normalmente l'esercizio della loro attività, essendo totalmente privati del loro patrimonio dei dati, che può riguardare tutti i dati sensibili dei dipendenti e delle loro paghe, dati industriali e relativi a proprietà intellettuale, e anche riservatissima corrispondenza commerciale, che se finisse nelle mani sbagliate metterebbe l'azienda nei guai - afferma Bernardi - E dato che le aziende che cadono vittima di attacchi ransomware si trovano di fronte ad individui senza scrupoli, neanche pagando il riscatto richiesto c'è la certezza che i dati vengano effettivamente restituiti, oppure che i criminali non se ne tengano comunque un backup per venderli al miglior offerente o per altre attività e trattamenti illeciti. Oltre al danno, c'è il pericolo anche della beffa, perché se l'azienda non è in grado di dimostrare di aver adottato le necessarie misure di sicurezza, c'è anche il rischio di vedersi multati dal Garante della Privacy, o essere chiamati a risarcire i danni agli interessati coinvolti."

Agli esperti di protezione dati e ai privacy officer, sono richieste quindi elevate conoscenze non solo sulla parte normativa e sul nuovo Regolamento UE in emanazione questa primavera, ma anche competenze trasversali come quelle sui sistemi di gestione della sicurezza delle informazioni, e per questo Federprivacy ha prontamente inserito nel programma formativo del 2016 anche un corso specifico per gli addetti ai lavori sulla norma internazionale ISO/IEC 27001:2013, che fornisce una serie di requisiti e standard per impostare e monitorare un sistema di gestione e controlli di sicurezza adeguati e proporzionati all'interno di aziende pubbliche e private.

Fonte: Fedeprivacy

Ti può interessare anche:

Commenti (0)
Solo gli utenti registrati possono scrivere commenti!

Focus

Privacy, utenti più tutelati con il giro di vite sul consenso

Privacy, utenti più tutelati con il giro di vite sul consenso

Amici che con vostro stupore sanno dove vi trovate o che musica state ascoltando, call center che vi bersagliano di telefonate promozionali nonostante non vi ricordiate di aver mai dato loro il...

18 Mag 2017 Letto:959

Leggi tutto

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

Il diavolo e l’acqua santa: il paradigma potrebbe apparire eccessivo ma descrive in sintesi il rapporto che accomuna le attività di profilazione ed il trattamento dei dati personali. Infatti se esaminiamo tutto...

15 Apr 2016 Letto:6034

Leggi tutto

La sicurezza dei sistemi di ICT in una prospettiva di law and techno…

La sicurezza dei sistemi di ICT in una prospettiva di law and technologies

La sicurezza è un bisogno innato nell’essere umano, legato alla costante presenza nell’ambiente di condizioni di imprevedibilità che determinano nell’uomo stati emozionali di insicurezza, di paura. Nella sua analisi delle motivazioni del...

04 Apr 2016 Letto:1510

Leggi tutto

I dati personali come un numero telefonico? Il diritto alla portabil…

I dati personali come un numero telefonico? Il diritto alla portabilità del dato nel nuovo Regolamento UE

I dati personali come un numero di telefono. Standardizzati, leggibili a macchina, in definitiva portabili. È l’obiettivo dichiarato dal nuovo articolo 18 del Regolamento Europea sulla protezione dei dati personali, secondo cui “l'interessato...

04 Apr 2016 Letto:1642

Leggi tutto

Nuovo Regolamento europeo: molto più complesso se si pensa allo scen…

Nuovo Regolamento europeo: molto più complesso se si pensa allo scenario

Il Regolamento europeo per la privacy, non è una semplice nuova legge, per le aziende sarà una innovazione che si dovrà inserire in un contesto estremamente complesso ed in uno scenario giuridico...

04 Apr 2016 Letto:2182

Leggi tutto
Il Corriere della Privacy S.r.l. P.I. 06199650489 - Testata registrata Tribunale di Firenze N.5871 del 08.05.2012
©Copyright 2011-2018 | | Direttore Responsabile: Nicola Bernardi