La PEC.
I cybercriminali hanno capito che la PEC potrebbe essere un ottimo ariete per sfondare le deboli difese della maggior parte delle aziende italiane.
Tramite la PEC le aziende italiane scambiano oltre 4 milioni di messaggi ogni giorno. Messaggi che ovviamente hanno, molto spesso, delle implicazioni dal punto di vista legale, dato che la PEC sostituisce a tutti gli effetti una raccomandata, con la quale condivide il medesimo valore legale.
Tramite la PEC ti scrivono – o almeno dovrebbero farlo – gli enti come INPS, INAIL, Camera di commercio, Agenzia delle Entrate, ecc.
Nella Posta Elettronica Certificata puoi trovare messaggi di studi legali, commercialisti, notai, ma non solo. Anche le aziende si scambiano PEC per gli scopi più disparati. Solleciti di pagamento, disdette di contratto, invio di documenti legali, ecc.
Tendenzialmente se uno si aspetta una brutta notizia in formato elettronico la va a cercare nella PEC, perché potrebbero arrivare così anche le sanzioni.
E quando si riceve qualcosa nella PEC cosa si fa? Proprio per timore – o per l’assoluta certezza – che si tratti di una cattiva notizia, del modello F24, della multa inattesa ma, comunque, di qualcosa da pagare, si va di corsa (e imprecando) a vedere di cosa si tratta.
I criminali informatici, quei maledetti, sanno quali sono le leve psicologiche che si azionano quando si riceve una mail certificata, e sanno come ungere gli ingranaggi per condurre l’utente proprio dove vogliono loro: a seguire un link o ad aprire un allegato infetto.
Potrebbe venire da pensare che sarebbe sufficiente non aprire le PEC il cui mittente non sia a sua volta un indirizzo PEC per considerarsi al sicuro, ma anche questo approccio non garantisce di non ritrovarsi con un problema da dover gestire.
I criminali possono inviare PEC usando gli accessi di qualcun altro!
Sul web – sul dark web, per maggior precisione – si trovano migliaia di credenziali di PEC in vendita. Criminali che in qualche modo ne sono entrati in possesso, le vendono ad altri criminali per consentire loro di usare l’indirizzo PEC di qualche malcapitato per i propri illeciti comodi. Eh si, una marea di indirizzi di posta certificata sono abbandonati da anni. Aziende che la PEC non la utilizzano o lo fanno raramente, che l’hanno cambiata passando ad altro fornitore, che non si preoccupano di modificare periodicamente la password, potrebbero essere utilizzate come mittente fasullo per attaccare altre aziende.
Non dare quindi mai per scontato che ciò che ricevi tramite posta elettronica certificata sia sicuramente esente da rischi, così come non devi dare per scontato che il mittente sia davvero colui che dice di essere.
Per rendere il mondo digitale un posto migliore e più sicuro, preoccupati di cambiare periodicamente le credenziali di accesso dei tuoi sistemi. Anche se ritieni che un accesso illecito non ti arrechi danno, pensa sempre che potrebbe arrecarne ad altri. Spesso gli strumenti che siamo abituati ad utilizzare ogni giorno, nel mondo digitale sono l’equivalente di armi cariche. Dobbiamo evitare di lasciarle abbandonate e incustodite, perché qualcun altro potrebbe farsi del male, o utilizzarle per fare del male a terzi.
Io sono per la condivisione delle colpe, e credo che se un criminale, violando i tuoi sistemi riesca ad arrecare danno a un terzo soggetto, la colpa sia da attribuire per un terzo al criminale e per un terzo alla tua gestione maldestra degli strumenti, in quanto legittimo proprietario. Il rimanente terzo di colpa lo darei comunque, in molti casi, alla vittima. La mancanza di formazione e di consapevolezza sui rischi informatici ai nostri giorni non può passare sotto i radar. Le aziende devono attuare dei piani di formazione del personale per diffondere la culture della sicurezza, e devono farlo oggi. E’ imprescindibile, come il patentino che serve per guidare un muletto.
Formarsi per non rischiare di fermarsi
Formare il personale è un dovere del datore di lavoro. Volendo ben guardare, anche la legge lo prevede. Il GDPR ha introdotto il principio di responsabilizzazione delle figure incaricate ai trattamenti, e per essere responsabili bisogna essere consapevoli e preparati.
Mi piacerebbe ottenere delle risposte alle domande che seguono:
- Se sei un imprenditore, titolare di azienda, vorrei sapere quanto ritieni utile la formazione dei tuoi dipendenti sulla sicurezza informatica;
- Se sei un dipendente, vorrei sapere come vedresti la formazione in aziende, se come una perdita di tempo o qualcosa di utile/indispensabile;
- Se sei un fornitore di servizi IT, vorrei sapere se hai un programma formativo che proponi ai tuoi clienti, per renderli consapevoli delle minacce alle quali si espongono ogni volta che accendono un PC.
Rispondi utilizzando i commenti. Mi piacerebbe aprire una discussione sull’argomento.