È del 9 marzo la direttiva del Consiglio dei Ministri, ribattezzata “io resto a casa”, che fa diventare tutto il territorio nazionale italiano una zona rossa. Molte aziende si sono già mosse in direzione dello Smart Working, una modalità di lavoro che consiste nello svolgimento delle proprie attività d’ufficio da casa propria connettendosi da remoto alle reti aziendali.
Cogliamo questa contingenza per parlare di una questione di primaria importanza, non solo in un periodo come questo ma durante tutto l’arco dell’anno lavorativo: la corretta comunicazione interna aziendale, la cui fallacia spesso ha causato problemi di non poco conto nel nostro paese come in altri del mondo.
La comunicazione interna in azienda è materia di grande importanza anche in momenti di relativa tranquillità, perché gli attacchi vengono perpetrati sempre, non solo quando il team è distante. Non è un caso che in molte aziende da qualche anno si sia cominciato a parlare di veri e propri training di consapevolezza tecnologica e di sicurezza interna, non dimenticando il fatto che sono apparse anche delle figure professionali che, su richiesta delle compagnie, educano tutti i membri del team (o dei vari team, se si parla di realtà strutturate) alla massima attenzione.
I tentativi di truffa, spesso, provengono via email con mittenti contraffatti, anche coi nomi di colleghi, che non vengono verificati prima di aprire questi messaggi, nemmeno quando si lavora a stretto contatto coi propri colleghi. Per questo è ancora più importante che in regime di Smart Working venga fatto questo sforzo ulteriore che allunga i tempi di pochissimi minuti ma consente di continuare a lavorare col 100% di sicurezza.
Gli strumenti per il telelavoro, come una rete VPN o un sistema attivato su Cloud, sono strumenti che vanno preservati da ogni tipo di minaccia. Come abbiamo visto in due articoli pubblicati qualche giorno fa su questo blog, sono già apparsi i primi casi di spam correlato all’emergenza Covid-19 (link-1 & link-2). Usando la scusa del materiale informativo delle autorità sanitarie si invitava a scaricare allegati che avrebbero poi attivato macro malevole ed installato malware all’interno dei PC. Ovviamente non sono solo le campagne hacker riferite all’emergenza sanitaria quelle da tenere sotto controllo, ma ogni tipo di mail.
Alcune aziende fanno lavorare i propri dipendenti sui device personali, questa pratica si chiama in gergo BYOD (Bring Your Own Device) e, nonostante la maggior comodità di utilizzare un dispositivo col quale si è abituati ad operare, questo richiede ancora più responsabilità, perché gli eventuali file dannosi presenti su di esso possono risultare pericolosi quando ci si connette alla rete aziendale.
Si va dalle mail contenenti avvisi di mancata spedizione a quelle su fatture da pagare/visualizzare, che all’interno di un’azienda è più facile ricevere ed aprire distrattamente. Ricordiamo come, in una cittadina americana, il semplice clic su un allegato malevolo fece bloccare l’intero sistema amministrativo e pagare un riscatto di oltre 600.000 dollari per poter riprendere il controllo dei dati (qui l’approfondimento).
È adesso il momento di indicare, quindi, quali sono le tre migliori prassi da seguire:
Fare attenzione alla sicurezza delle proprie password
Quando si tratta delle credenziali d’accesso riservate alle reti virtuali VPN la prudenza non è mai troppa, così come per le caselle email anche certificate. Questi accessi possono essere utilizzati per veicolare campagne malevole o per prendere il controllo dei sistemi aziendali. Il consiglio è di utilizzare password forti e difficilmente intuibili. Sono sconsigliate dunque le password nome-cognome-anno di nascita e simili.
Evitare di cadere nelle trappole
Se durante una giornata di lavoro da remoto riceviamo una mail che ha come mittente uno dei responsabili della nostra azienda e nel messaggio ci viene chiesto di installare qualche programma inconsueto è sempre bene contattare la persona in questione per verificare che la richiesta sia reale. Il contatto non dovrà assolutamente avvenire rispondendo alla mail malevola, perché anche questo potrebbe far partire un attacco, si consiglia quindi di telefonare o di usare un’app di messaggistica istantanea. Non è raro infatti che gli hacker riescano a risalire ai nomi dei manager o dei membri del team di lavoro e utilizzino la loro falsa identità per camuffare il mittente del messaggio.
Fare attenzione agli allegati
Come abbiamo detto, gli allegati malevoli sono uno strumento utilizzatissimo dagli hacker. Come nel caso esposto precedentemente, se il mittente appare attendibile ma la mail con allegato non era prevista è sempre meglio contattare in altra maniera la persona che l’ha inviata. Per quel che riguarda i documenti, è sempre bene ricordare che, siccome molte aziende utilizzano Office, ci sono alcune estensioni che spesso si rivelano malevole ed altre che invece sono più sicure. Per i documenti Word, le estensioni da evitare sono DOC e DOCM, mentre sono più affidabili i DOCX. Per i file Excel, anch’essi molto utilizzati nelle aziende, quello più attendibile è XSLX mentre sono da evitare XLSM e XLS.
In linea generale, però, queste estensioni possono essere facilmente camuffate, per questo motivo è sempre meglio avere un occhio di riguardo su ogni allegato e seguire il consiglio principale: mai aprire e mai attivare le macro.
Chiudiamo ripetendo anche che, nonostante siano un problema legato più alla sfera personale che al telelavoro, è necessario guardarsi bene dalle minacce legate al phishing, visto che comunque sono mirate a prendere possesso delle credenziali d’accesso dei propri sistemi bancari per rubare denaro.