Perché le PMI sono la destinazione principale degli attacchi informatici?

Le piccole e medie imprese (PMI) sono sempre più nel mirino dei criminali informatici, e non è un caso. Nonostante le loro dimensioni, queste organizzazioni spesso conservano dati preziosi senza la solida protezione dei dati di cui godono le grandi imprese. Budget limitati per la sicurezza informatica, team IT a corto di personale e un falso senso di anonimato le rendono particolarmente vulnerabili. Questo articolo spiega perché le piccole imprese sono bersagli privilegiati degli attacchi informatici. Continua a leggere per rilevare come migliorare la sicurezza informatica delle PMI.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

Perché gli attacchi informatici alle PMI sono in aumento

Gli attacchi informatici alle piccole e medie imprese stanno diventando sempre più frequenti. Le PMI sono preferite dagli aggressori per molteplici motivi.

  • Il livello di sicurezza più basso . La maggior parte degli aggressori ritiene che la sicurezza informatica in aziende come queste sia più debole rispetto a quella delle Enterprise. Ciò può essere causato dall’assenza di specialisti IT dedicati ed esperti di sicurezza. Un budget limitato è un altro motivo alla base di misure di protezione dei dati insufficienti.
  • Dati preziosi ma vulnerabili . Anche le piccole organizzazioni possono gestire dati importanti, quali informazioni sui clienti, dati finanziari, dettagli di pagamento e comunicazioni aziendali. I dati preziosi ma meno protetti sono allettanti per i criminali informatici, poiché possono venderli o utilizzarli per attacchi successivi e più personalizzati contro altre destinazioni. La tattica è denominata «Hack the small fish to reach the big fish» (Attacca i pesci piccoli per arrivare a quelli grandi).
  • Attacchi informatici di massa . Il Ransomware as a Service (RaaS) è un nuovo modello che consente ai criminali informatici di suddividere il lavoro per una maggiore efficienza. Di conseguenza, il RaaS rende facile per gli autori di attacchi con scarse competenze lanciare sofisticate campagne di ransomware e aumenta il numero complessivo di attacchi in tutto il mondo. I criminali informatici possono lanciare attacchi automatizzati e su larga scala oppure attacchi mirati contro piccole imprese.
  • Mancanza di consapevolezza in materia di sicurezza informatica . Una vulnerabilità comune si verifica quando le organizzazioni non istruiscono gli utenti a identificare i segnali di attacchi informatici, tra cui phishing, ingegneria sociale, link sospetti ed e-mail. Sottovalutare queste misure di base di consapevolezza in materia di sicurezza aumenta le minacce alla sicurezza informatica per le piccole imprese. Quando gli utenti utilizzano password deboli e non seguono le buone pratiche di sicurezza, gli aggressori possono facilmente infettare i computer con virus e altro malware.
  • Rilevamento e risposta ritardati . Le piccole e medie imprese spesso non effettuano il monitoraggio continuo dell’infrastruttura. Di conseguenza, gli amministratori possono perdere l’opportunità di reagire nel momento stesso in cui si verifica un attacco informatico. Questa reazione tardiva può causare danni irreversibili. Il ritardo nell’esecuzione delle scansioni delle vulnerabilità e nell’applicazione delle patch può rendere queste aziende facili bersagli.

Gli attacchi informatici che sfruttano il protocollo Server Message Block (SMB) sono comuni poiché si tratta di un protocollo ampiamente utilizzato che consente la condivisione file, l’accesso alle stampanti e la comunicazione tra processi sulle reti Windows. Le versioni più datate del protocollo SMB contengono vulnerabilità sfruttabili se non adeguatamente protette. Anche una configurazione errata degli accessi alle risorse condivise crea una falla nella sicurezza. Gli attacchi SMB sono ampiamente utilizzati contro le piccole organizzazioni perché gli aggressori si aspettano che tali aziende utilizzino questo protocollo senza un’adeguata protezione.

Tipi più comuni di attacchi informatici alle PMI

Diversi tipi di attacchi informatici possono prendere di mira le piccole e medie imprese. La maggior parte di essi è comune a qualsiasi destinazione.

  • Attacchi di phishing . E-mail ingannevoli inducono i dipendenti a cliccare su link dannosi o a rivelare informazioni sensibili (password o dati finanziari). Le organizzazioni sono vulnerabili se mancano di un’adeguata formazione sulla sicurezza o se il filtraggio delle e-mail o la protezione antispam non sono configurati correttamente.
  • Ransomware . Si tratta di una delle minacce alla sicurezza informatica più pericolose per le piccole imprese. Distrugge i dati utilizzando potenti algoritmi di crittografia che possono essere decrittografati solo con una chiave. Gli autori degli attacchi chiedono un riscatto per sbloccare i dati, ma non vi è alcuna garanzia che invieranno la chiave una volta pagato il riscatto. Le organizzazioni vulnerabili sono quelle prive di adeguate strategie di backup e piani di risposta agli incidenti.
  • Infezioni da virus e malware . Virus, trojan, worm o spyware installati tramite link o software dannosi vengono spesso utilizzati per rubare dati o ottenere l’accesso remoto. Le organizzazioni in cui gli utenti scaricano file da fonti non affidabili e non dispongono di software antivirus aggiornato sono vulnerabili alle infezioni da malware.
  • Compromissione della posta e-mail aziendale . Gli hacker si spacciano per dirigenti o vendor per indurre gli utenti a effettuare bonifici o a divulgare dati. Un’autenticazione e-mail debole e l’assenza di un processo di doppia approvazione per le transazioni finanziarie rendono le organizzazioni vulnerabili.
  • Credential stuffing . Gli hacker utilizzano combinazioni di nome utente e password rubate in precedenza per accedere ad altri sistemi. Gli utenti con password comuni (ampiamente note) prive di autenticazione a più fattori possono mettere a rischio l’organizzazione.
  • Attacchi Denial of Service (DoS) / Distributed DoS (DDoS). Il sovraccarico di un server o di una rete per rendere i servizi inaccessibili viene spesso utilizzato per estorcere denaro o paralizzare le attività aziendali. Le aziende con larghezza di banda limitata e prive di strumenti di mitigazione degli attacchi DDoS sono vulnerabili a questo tipo di attacco.
  • Minacce interne . Dipendenti o collaboratori esterni possono causare violazioni della sicurezza rubando o gestendo in modo improprio i dati. Ciò può verificarsi a causa di controlli di accesso e criteri di sicurezza inadeguati.

Gli aggressori possono combinare più tipi di attacco per sferrare un attacco complesso e devastante. Ad esempio, possono ottenere credenziali di posta elettronica, inviare e-mail di spoofing con tattiche di ingegneria sociale per infettare i computer all’interno delle organizzazioni ed eseguire ransomware per distruggere i dati e chiedere un riscatto.

Gli attacchi informatici spesso sfruttano il protocollo SMB quando la sicurezza SMB non è configurata correttamente. Ciò consente agli aggressori di infettare i computer, diffondere virus come malware di tipo worm e rubare dati, nonché effettuare la crittografia o corrompere i file con il ransomware. Le versioni più datate di SMB, come SMBv1, presentano vulnerabilità note che gli aggressori sfruttano spesso.

Prima di ottenere l’accesso tramite SMB, gli aggressori possono ricorrere ad attacchi Man-In-The-Middle o acquisire l’hash NTLM per il cracking offline e la raccolta di credenziali tramite risposte LLMNR/NBT-NS compromesse. Vengono utilizzate anche tattiche di escalation dei privilegi. I moderni attacchi informatici sono sofisticati e possono articolarsi in più fasi, compreso lo sfruttamento delle lacune di sicurezza SMB per danneggiare la vittima.

Principali motivi per cui le PMI sono vulnerabili alle minacce informatiche

Di seguito riassumiamo i motivi per cui le piccole e medie imprese sono vulnerabili agli attacchi informatici.

  • Budget limitato e bassa priorità per la sicurezza informatica e la protezione dei dati. Le piccole organizzazioni spesso danno priorità ai costi operativi rispetto alla sicurezza IT. Una protezione inadeguata le espone anche ad attacchi di base. Le reti Wi-Fi scarsamente protette consentono agli aggressori di accedere alla rete dell’organizzazione senza bisogno di un accesso fisico all’ufficio.
  • Assenza di criteri di sicurezza formali . L’assenza di criteri documentati relativi alla gestione del software, all’applicazione delle patch di sicurezza, alle password e alla risposta agli incidenti aumenta il rischio che i dipendenti prendano inconsapevolmente decisioni incoerenti o rischiose. Gli utenti utilizzano spesso password semplici o identiche su più servizi.
  • Mancanza di formazione e istruzione per gli utenti . A volte, gli utenti non sanno come riconoscere un attacco informatico e potrebbero cliccare su link dannosi, aprire e-mail di phishing e installare applicazioni sospette. Insieme a password deboli e criteri di sicurezza inadeguati, questi fattori rendono le piccole organizzazioni altamente vulnerabili agli attacchi informatici.
  • Mancanza di backup regolari . Le piccole organizzazioni spesso sottovalutano l’importanza dei backup e della protezione dei dati. Questo errore può rivelarsi devastante. Inoltre, le organizzazioni possono eseguire i backup manualmente o archiviarli sulla stessa rete dei dati di produzione. Ciò rende i dati originali e i backup vulnerabili al ransomware e ad altri malware.

La sicurezza informatica non è un’opzione facoltativa per le piccole e medie imprese. La maggior parte degli attacchi informatici contro tali organizzazioni è di natura opportunistica (non mirata) e i sistemi automatizzati scansionano costantemente Internet alla ricerca di punti di accesso vulnerabili.

Il costo di una violazione per le piccole imprese

Il costo di una violazione dei dati per le piccole imprese può essere devastante, dal punto di vista finanziario, operativo e reputazionale. Mentre le grandi aziende possono sopravvivere al colpo, molte piccole imprese non vengono mai ripristinate.

Il Alleanza nazionale per la sicurezza informatica riporta che il 60% delle piccole imprese che subiscono un attacco informatico e perdono dati cessano l’attività entro sei mesi. Il costo medio di una violazione dei dati nel 2024 ha raggiunto il massimo storico di 4,88 milioni di dollari, con un aumento del 10% rispetto al 2023.

  • Costo medio: da 120.000 a 1,24 milioni di dollari per incidente (varia a seconda del settore e della gravità).
  • Le richieste di riscatto per il ransomware spesso vanno dall’intervallo di 10.000 a oltre 250.000 dollari per le piccole e medie imprese.

Ripartizione dei costi

Di seguito sono riportati i dettagli relativi ai costi degli attacchi informatici alle piccole imprese.

  • Tempo di inattività aziendale :
    • Perdita di ricavi dovuta all’interruzione delle operazioni.
    • Tempo medio di inattività dopo un attacco ransomware: 10-21 giorni.
    • Le aziende in cui il fattore tempo è cruciale (ad es. il commercio al dettaglio, assistenza sanitaria) sono quelle che ne risentono maggiormente.
  • Pagamento del riscatto . Se un’organizzazione paga il riscatto, la perdita finanziaria aumenta, specialmente se gli autori dell’attacco non forniscono gli strumenti per recuperare i dati persi. Il pagamento non garantisce il Ripristino completo né la protezione da future infezioni.
  • I costi relativi alla risposta agli incidenti e al ripristino includono analisi forensi, consulenza legale, ripristino dei dati e riconfigurazione dell’infrastruttura IT. I costi possono includere anche consulenti di sicurezza esterni e manodopera in straordinario.
  • Danno alla reputazione :
    • Perdita della fiducia dei clienti e del valore del marchio.
    • I futuri clienti potrebbero scegliere concorrenti più “sicuri”.
    • Potrebbe comportare una perdita di ricavi a lungo termine.
  • Sanzioni legali e normative :
    • GDPR, potrebbero essere applicabili le norme HIPAA, PCI DSS o le leggi locali sulla protezione dei dati.
    • La non conformità comporta sanzioni, anche per le piccole imprese.
  • Perdita di proprietà intellettuale:
    • Dati proprietari, segreti commerciali e piani di prodotto potrebbero essere rubati.
    • Ciò è particolarmente dannoso per le startup tecnologiche.

Gli attacchi informatici alle piccole imprese non sono solo un “problema tecnico” per le organizzazioni; se non gestiti correttamente, possono rappresentare un evento in grado di porre fine all’attività. Investire nella formazione sulla sicurezza informatica, nei backup regolari, nell’autenticazione a più fattori e nella pianificazione della risposta agli incidenti può ridurre significativamente il rischio e l’impatto finanziario.

Come le PMI possono ridurre i rischi legati alla sicurezza informatica

Le piccole e medie imprese possono ridurre significativamente i rischi legati alla sicurezza informatica adottando misure pratiche ed economiche, anche senza un budget di livello aziendale. Seguite le pratiche raccomandate di seguito per minimizzare i rischi di attacchi informatici:

  • Utilizzate password forti e uniche . Applicate criteri sulle password e richiedete credenziali complesse e non riutilizzate. Fornite agli utenti un gestore di password, poiché può prevenire la perdita delle credenziali. Modificate le credenziali predefinite su tutti i sistemi.
  • Formate i dipendenti sulle buone pratiche di sicurezza informatica . L’errore umano è la causa principale degli incidenti informatici. Eseguite simulazioni di phishing. Insegnate le pratiche di navigazione sicura, gestione delle e-mail e gestione delle password. Organizzate corsi di formazione sulla sicurezza periodicamente e ripeteteli almeno ogni trimestre.
  • Prendete in considerazione l’autenticazione a più fattori (MFA). L’MFA aggiunge un ulteriore livello di protezione per le risorse più critiche, come la posta elettronica, le applicazioni cloud e l’accesso remoto. Date priorità agli account di amministrazione e di amministrazione finanziaria.
  • Mantenere aggiornati sistemi e software . Applicare regolarmente le patch a sistemi operativi, applicazioni, firewall, router e firmware. Le patch di sicurezza e gli aggiornamenti risolvono le vulnerabilità note e riducono la superficie di attacco. Valutare la possibilità di abilitare gli aggiornamenti automatici, ove possibile. Utilizzare strumenti di gestione delle patch per garantire la visibilità. È importante utilizzare la versione più sicura di SMB nell’ambito della sicurezza informatica. Utilizzare SMBv3 quando possibile, anziché SMBv1.
  • Utilizzare strumenti di protezione antivirus, rilevamento e risposta . Il malware moderno richiede difese moderne. Installare un software antivirus affidabile su tutti i dispositivi, aggiornarlo regolarmente e impostare avvisi per comportamenti sospetti. Configurare protezione delle e-mail utilizzando filtri antispam.
  • Implementare politiche di controllo degli accessi . Applicare il principio del privilegio minimo. Limitare l’accesso a file, sistemi e strumenti di amministrazione in base ai ruoli. Disabilitate gli account inutilizzati, come quelli degli ex dipendenti.
  • Configurate un firewall e proteggete la rete Wi-Fi . La protezione a livello di rete è essenziale. Utilizzate un firewall di livello aziendale e bloccate le porte inutilizzate dalle reti esterne. Configurate l’anti-spoofing. Modificate le credenziali Wi-Fi predefinite e isolate le reti ospiti. Abilitate il filtraggio degli indirizzi MAC per i dispositivi client wireless.
  • Monitorate le attività sospette . Anche un monitoraggio di base è meglio di niente. Utilizzate strumenti di monitoraggio dei log o servizi di sicurezza gestiti. Prestate attenzione ad accessi insoliti, accessi ai file e trasferimenti di dati. Si raccomanda di configurare monitoraggio delle infrastrutture utilizzando strumenti professionali.
  • Eseguite il backup dei dati . Eseguite backup regolari e automatizzati dei file importanti. Per proteggere i backup dal ransomware, archiviateli offline (backup con protezione air-gap) o in Storage immutabile. Seguite le linee guida Regola di backup 3-2-1 e Criterio di conservazione dei dati GFS. Test delle procedure di ripristino regolarmente per assicurarvi che i backup siano integri e che i dati possano essere ripristinati quando necessario.
  • Creare un piano di risposta agli incidenti . Questo piano dovrebbe comprendere un piano di piano di ripristino di emergenza e un piano di continuità operativa . Definire i ruoli (chi deve eseguire azioni specifiche), i contatti (legali, IT, forze dell’ordine) e le azioni (cosa fare). Effettuare esercitazioni di risposta agli incidenti (esercitazioni teoriche).

L’implementazione di una serie di misure preventive e di protezione aiuta le piccole imprese a ridurre le minacce alla sicurezza informatica e a proteggere i propri dati.

Perché il backup e il ripristino sono fondamentali per la resilienza informatica delle PMI

I backup sono fondamentali perché costituiscono l’ultima linea di difesa contro il ransomware, i guasti hardware, la cancellazione accidentale e altri disastri. Senza una strategia affidabile di backup e ripristino, anche un piccolo attacco informatico può interrompere definitivamente le operazioni, mettendo a rischio le organizzazioni di tutte le dimensioni.

  • Gli attacchi ransomware sono in aumento . Il ransomware crittografa i dati e richiede un riscatto. I backup consentono di ripristinare le operazioni senza pagare il riscatto. I backup “con protezione air-gap”, isolati dal cloud e immutabili sono immuni alle infezioni.
  • Gli errori umani possono capitare . La cancellazione o la sovrascrittura accidentale di file sono comuni nelle piccole organizzazioni, e anche i dipendenti ben formati possono commettere errori. I backup garantiscono un rapido ripristino dei file cancellati senza tempi di inattività né perdita di dati.
  • Guasti hardware e software . A volte i dischi rigidi si guastano, i database vanno in crash e gli aggiornamenti del sistema operativo (OS) non vanno a buon fine. Un backup affidabile garantisce la continuità operativa e la coerenza dei dati nonostante i guasti tecnici.
  • Riduce al minimo i tempi di inattività e la perdita di dati . Ogni minuto di inattività costa denaro e mina la fiducia. I backup consentono di ripristinare rapidamente i servizi, a volte nel giro di pochi minuti. Ciò riduce al minimo la perdita di produttività e la frustrazione dei clienti.
  • Pianificazione della continuità operativa . I backup sono una componente essenziale di un piano di ripristino di emergenza. La resilienza informatica non significa solo fermare gli attacchi, ma anche garantire un ripristino rapido. I backup costituiscono la base di qualsiasi strategia di ripristino di emergenza o di continuità operativa, garantendo la possibilità di servire i clienti anche dopo una violazione o un’interruzione del servizio.

Come NAKIVO aiuta le PMI a proteggersi

NAKIVO Backup & Replication è una soluzione affidabile per la protezione dei dati che soddisfa i requisiti delle piccole e medie imprese. La soluzione offre numerose funzioni, tra cui:

    • Backup immutabili . Anche i backup sono una destinazione per il ransomware. È possibile abilitare l’immutabilità dei backup per proteggerli da modifiche o cancellazioni. Di conseguenza, il ransomware non può danneggiare o eliminare i dati di backup.
    • Backup su nastro . È possibile archiviare i backup su nastro. In caso di attacco ransomware, i backup archiviati su supporti a nastro scollegati rimangono integri e non vengono danneggiati dal ransomware.
    • Posizioni di backup multiple . La soluzione NAKIVO supporta un ampio numero di tipi di repository per l’archiviazione dei backup, tra cui archiviazione locale, nastro, archiviazione remota (comprese le condivisioni SMB) e archiviazione sul cloud (Amazon S3, archiviazione compatibile con S3, Archiviazione BLOB di Azure, Backblaze B2, ecc.). L’archiviazione dei backup in più ubicazioni su supporti diversi soddisfa la regola di backup 3-2-1 e consente di disporre di un backup sicuro nel caso in cui gli altri risultino danneggiati.
    • Criteri di conservazione . Le ampie opzioni di configurazione per le impostazioni di conservazione consentono di utilizzare lo storage in modo razionale e di conservare i backup per tutto il tempo necessario. Con la funzione “ impostazioni di conservazione” di NAKIVO, è possibile implementare il criterio di conservazione GFS e mantenere un numero maggiore di punti di ripristino recenti e un numero minore di quelli più vecchi.
    • Crittografia dei backup . La crittografia è uno dei componenti fondamentali della sicurezza delle PMI. Crittografia dei backup consente di migliorare il livello di sicurezza all’interno della propria organizzazione e di proteggere i backup dall’intercettazione durante il trasferimento in rete. La crittografia viene inoltre utilizzata per proteggere i backup dall’uso non autorizzato quando sono archiviati in un repository di backup.
  • Scansioni antimalware . È possibile eseguire scansioni antimalware prima del ripristino utilizzando software antivirus supportati per garantire che i backup siano puliti e impedire che il ransomware si diffonda ai dati di produzione.
  • Protezione di più piattaforme . La soluzione NAKIVO è in grado di proteggere server fisici e workstation (Windows e Linux), macchine virtuali (VMware vSphere, Proxmox VE, Hyper-V, Nutanix AHV e Amazon EC2), SMB e NFS condivisioni file e Oracle Database.
  • Funzionalità di ripristino flessibili . A seconda della situazione, è possibile eseguire un ripristino completo o ripristinare oggetti specifici, come i file. In questo modo, è possibile ripristinare i dati necessari il più rapidamente possibile.
  • Test di ripristino . Con la soluzione NAKIVO, è possibile testare i propri backup. Inoltre, è possibile creare scenari complessi di ripristino di emergenza e testarli con la Ripristino dell’ambiente (Site Recovery funzione.

Conclusione

Gli attacchi informatici SMB rappresentano una minaccia comune per le piccole e medie imprese. Le organizzazioni dovrebbero implementare misure di sicurezza per proteggere le condivisioni file SMB da accessi non autorizzati e migliorare la sicurezza della rete SMB. È fondamentale utilizzare software antivirus aggiornati, installare le patch di sicurezza, implementare una politica di sicurezza adeguata, configurare la protezione della posta e-mail, formare gli utenti ed eseguire backup regolari. I backup sono fondamentali perché consentono di ripristinare i dati anche nel caso in cui un attacco informatico abbia successo. La soluzione NAKIVO offre un’ampia gamma di funzioni che consentono alle PMI di proteggere i propri dati a un costo accessibile.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Le persone leggono anche