Spionaggio industriale e commerciale: le soluzioni informatiche per difendere l’azienda

Spionaggio industriale e commerciale: le soluzioni informatiche per difendere l’azienda

In Italia, gran parte delle imprese è costituito dalle cosiddette piccole medie imprese (PMI) che producono il 68% della ricchezza italiana con più di 12 milioni di persone impiegate: questa realtà si è dovuta scontrare dall’inizio del nuovo millennio con una rivoluzione digitale che ha completamente trasformato il modo di fare impresa, portando enormi vantaggi ma allo stesso tempo dando alle attività criminali nuove armi per furti e spionaggio industriale, creando quello che viene oggi chiamato cyber crime.

Viene stimato che un’azienda su quattro subisca attacchi informatici e anche se la consapevolezza del fenomeno e le conseguenti difese crescano costantemente, non si è ancora arrivati ad un livello sufficiente di sicurezza adeguato.

Quali dati vengono rubati dagli hacker?

I cyber crimes sono una categoria piuttosto varia che comprende sia il furto per un vantaggio proprio da parte degli hacker, quindi ad esempio con operazioni di phishing per intercettare pagamenti o forniture, sia il furto “su commissione” per avvantaggiare un concorrente: in questo caso si può parlare di cyberspionaggio industriale.

Nello spionaggio industriale, gli hacker mirano a infiltrarsi nelle reti aziendali per sottrarre dati vitali relativi alla programmazione economico-industriale, allo scopo di venderli alla concorrenza affinché possa trarne un indebito vantaggio: piani industriali e finanziari, dati sul personale, tecnologie e brevetti, accordi commerciali non ancora pubblici.

In questi casi il danno è ingente perchè non si risolve solamente in una perdita economica immediata ma coinvolge il futuro dell’attività dell’azienda.

Perchè il cybercrime è così diffuso?

Per tre motivi fondamentali:

  • l’utilizzo di strumenti non adeguati per la trasmissione di informazioni sensibili
  • mancanza di investimenti adeguati in cyber security
  • mancata implementazione di policy aziendali (e relativa formazione del personale)

Vediamo quali possono essere delle soluzioni a ciascuno di questi punti.

Comunicazioni sicure: come ottenerle?

In genere, qualsiasi mezzo di comunicazione aziendale che non preveda la comunicazione diretta con l’interlocutore (ad esempio, un cliente) o qualche forma di crittografia, è da ritenersi potenzialmente non sicuro.

Partendo dalle email, con le quali spesso si inviano ad esempio fatture e richieste di pagamento: esse possono essere facilmente intercettate se non adeguatamente protette.

Una buona norma è quella di implementare sempre misure di sicurezza come autenticazione del destinatario, crittografia dei contenuti e, in caso di dubbi, l’utilizzo di mezzi di comunicazione sincrona come ad esempio il telefono.

Stabilire un budget per la cyber security

Pagare un consulente per aumentare la sicurezza informatica della propria infrastruttura IT è un investimento che può far risparmiare sul lungo periodo somme considerevoli di denaro, evitando intrusioni esterne, furti di dati e interruzioni della business continuity: firewall avanzati e controllo degli accessi sono strumenti di fondamentale importanza ormai alla portata di qualsiasi azienda.

Formazione e policy aziendali semplici e condivise

Specialmente nel caso di aziende di piccole dimensioni, è importante che tutto il personale sia formato sui protocolli di sicurezza, i quali devono essere semplici e di facile utilizzo in maniera da renderne l’adozione il più estesa possibile: un’azienda in cui tutti i dipendenti sono coscienti dell’importanza della protezione dei dati aziendali sarà un’azienda già in partenza più sicura da quel punto di vista.

Sicurezza dei dati ed entrata in vigore del GDPR: cosa cambia

Dopo l’entrate in vigore del nuovo Regolamento sulla protezione dei dati, ai danni derivanti da eventuali attacchi informatici possono sommarsi i danni derivanti da sanzioni per la mancata adeguatezza della protezione dei dati sensibili trattati in azienda.

Per le PMI, mettersi in regola con le novità del GDPR deve passare necessariamente per quattro principali punti, vediamoli brevemente.

Scegliere fornitori con adeguate garanzie di sicurezza

Il titolare del trattamento dei dati (data controller) dovrà porre particolare cautela e attenzione nella scelta del c.d. data processor, in particolar modo sulle garanzie offerte in termini di protezione dei dati.

Cifratura

Sempre tenendo in considerazione le dimensioni dell’azienda e di quanto sia concretamente fattibile, la cifratura e pseudonimizzazione dei dati devono essere principi da applicare ogni qualvolta sia possibile: in caso di furto ciò rende inutilizzabile i dati da parte del “ladro”.

Privacy Assessment

Di fondamentale importanza è condurre un audit tramite aziende specializzate per realizzare l’analisi dei rischi nelle modalità di trattamento dei dati e conseguentemente individuare le misure adatte a contrastarli.

Data Breach

Con il GDPR, tutte le aziende europee hanno un lasso di tempo di 72 ore per notificare al Garante per la Protezione dei Dati Personali ogni violazione subita ai dati personali trattati o conservati in azienda: nel caso questi dati costituiscano dei rischi concreti anche per i titolari di quei dati, la violazione dovrà essere notificata anche a quest’ultimi.

Come implementare un sistema di sicurezza informatica in azienda?

Per evitare di esporsi ai rischi sopra citati, è quindi necessario porre in essere una strategia di sicurezza informatica: il metodo spesso più semplice per ottenerla e, a lungo andare, anche il più economico, è di affidarsi ad un partner serio ed affidabile che possa condurre un’analisi dei rischi informatici e proporre gli strumenti più adatti a contrastarli, anche in osservanza delle nuove regolamentazioni.

Così facendo l’azienda si metterà al riparo dai danni diretti derivanti dal furto di dati sensibili e commercialmente rilevanti ma anche, e soprattutto, da eventuali sanzioni per la mancata messa in sicurezza dei dati stessi.