In occasione del Cyber Security Awareness Month, il cui tema di quest’anno è “Secure Our World”, viene lanciato un forte invito ad adottare misure semplici ma efficaci per proteggere noi stessi e le aziende dalle minacce informatiche. Con l’espansione dello smart working, la digitalizzazione crescente e l’arrivo di nuove tecnologie, il confine tra la sfera personale e quella professionale si è assottigliato, rendendo tutti più esposti a rischi complessi e in continua evoluzione.
Il mese di ottobre rappresenta un’ottima opportunità per consolidare le buone pratiche di sicurezza online, mantenendo alta l’attenzione su ciò che conta davvero e sfatando miti o timori ingiustificati. L’esperto Christopher Budd, Director di Sophos X-Ops, ha condiviso consigli preziosi per proteggerci dai cyberattacchi e mantenere un ambiente digitale sicuro.
I consigli di Sophos
Ecco alcuni suggerimenti :
- Scansioni facciali e impronte digitali sono più sicure rispetto ai codici di accesso: utilizzare il più possibile funzioni come Face ID o la scansione delle impronte digitali per proteggere i dispositivi. Sono più sicure dei codici di accesso e i device hanno buone protezioni integrate per queste informazioni sensibili.
- Utilizzare l’autenticazione a più fattori ogni volta che è possibile: questo fornisce un elevato livello di sicurezza che rende più difficile l’accesso ai propri account da parte dei criminali informatici. Se non è possibile adottare applicazioni di autenticazione sicure o chiavi di sicurezza hardware, utilizzare il proprio numero di telefono: è più sicuro che non utilizzare nulla e se c’è una cosa da proteggere con la MFA quella è la posta elettronica, che rappresenta il bersaglio preferito dai cybercriminali.
- Pensate prima di condividere pubblicamente informazioni che vi riguardano: i criminali informatici possono usarla per accedere ai vostri account o per convincere qualcuno di essere voi. Ad esempio, quei sondaggi su Facebook con domande relative alla città di nascita, la prima auto posseduta ecc.: questi sono il tipo di informazione che i criminali informatici possono usare per fingere di essere voi, accedere e prendere il controllo dei vostri account.
- Non è sempre necessaria una app: non è obbligatorio scaricare ogni volta un’applicazione: spesso è possibile usare il sito web del servizio. Le app raccolgono molti più dati rispetto ai siti web, tra cui la posizione, l’elenco dei propri contatti e altre informazioni che l’utente potrebbe invece non voler condividere. Se si scarica una app, è meglio cancellarla quando non se ne ha più bisogno e qualora si ripresentasse la necessità di riutilizzarla, basteranno pochi minuti per reinstallarla. In particolare, è importante prestare attenzione alle app scaricate al di fuori dei grandi store: le applicazioni provenienti da app store e siti web che non sono quelli ufficiali come Google Play, App Store di Apple e Galaxy Store di Samsung possono essere pericolose. Gli store ufficiali hanno standard di sicurezza e privacy in grado di identificare attività dannose. Per scaricare le applicazioni, è meglio attenersi sempre alle fonti ufficiali o, se non sono presenti negli app store ufficiali, scaricare l’applicazione dal sito web ufficiale dello sviluppatore o utilizzare la versione web dell’applicazione.
- Attenzione a e-mail e messaggi di testo inaspettati: il phishing continua a essere una delle tattiche più efficaci utilizzate dai criminali informatici per accedere e sottrarre dati agli utenti. Se arriva una mail o un messaggio di testo inusuale, è fondamentale non interagite con esso (non aprire gli allegati, non cliccare sui link). Qualora ci sia il dubbio che il messaggio possa in realtà essere autentico, si può contattare direttamente il mittente e verificarne la veridicità.
- Mettere in discussione l’urgenza nelle e-mail e nelle chiamate: i criminali informatici sfruttano l’urgenza per fare in modo che l’utente abbassi la guardia e prenda decisioni sbagliate. Se si riceve una mail o una chiamata da qualcuno che afferma di chiamare per conto di un’organizzazione fidata come il fisco, la polizia o la banca e vi invita ad agire rapidamente o succederà qualcosa di brutto, fermatevi e fate un’ulteriore verifica sull’autore della chiamata rivolgendovi direttamente alla fonte prima di convalidare la richiesta condividendo informazioni sensibili.
- L’importanza delle password: è fondamentale ribadire che ogni account deve avere una password unica e complessa, ovvero composta da almeno 12 caratteri, con un mix di numeri, lettere maiuscole e minuscole e caratteri di punteggiatura. Le password non dovrebbero basarsi su informazioni personali e le migliori utilizzano una frase piuttosto che singole parole. Se queste password sono troppo difficili da gestire, esistono gestori di password che semplificano la questione.
- Parola d’ordine: aggiornare: tutte le applicazioni e i dispositivi devono essere sempre completamente aggiornati e naturalmente è necessario installare software di sicurezza informatica su ogni device (anche se si tratta di un Mac).
- Eliminare i dispositivi e il software a fine vita: tutto, dai sistemi operativi ai servizi, fino ai router Wi-Fi, diventa obsoleto e prima o poi deve essere sostituito. Ad esempio, il vostro router Internet è in genere supportato con patch e aggiornamenti solo per alcuni anni dopo il suo acquisto. I cybercriminali amano i dispositivi non aggiornati. Quando un dispositivo è “fuori supporto” è obsoleto: meglio sbarazzarsene e sostituirlo con un nuovo dispositivo.
- Eseguire il backup dei dati: sebbene i gruppi di ransomware puntino soprattutto alle aziende che possono pagare riscatti più alti, non esitano a colpire anche utenti privati ed è dunque importante eseguire il backup dei dati per evitare di dover pagare un riscatto.
Sebbene difendersi dagli attacchi informatici rappresenti indubbiamente una sfida quotidiana per gli utenti, ci sono anche delle preoccupazioni senza reale fondamento: meglio concentrarsi sui rischi reali, non sulle minacce esagerate.
Ecco le cose di cui non preoccuparsi
- Il Wi-Fi pubblico è più sicuro di quanto si pensi: contrariamente a quanto si dice in giro, il Wi-Fi pubblico è generalmente sicuro grazie alla crittografia utilizzata dalla maggior parte dei siti web e delle app. Utilizzatelo liberamente negli aeroporti o nelle caffetterie, ma è comunque opportuno evitare di svolgere attività online che prevedano la condivisione di dati sensibili quando si utilizza questa tipologia di connessione.
- Nuove tecnologie: non tutte le nuove tecnologie sono così rischiose come vengono presentate. Ad esempio, la funzione NameDrop di Apple è generalmente sicura e richiede condizioni specifiche per funzionare. Tuttavia, qualora non ci si senta al sicuro, è possibile disabilitarla semplicemente attraverso le impostazioni.
- Le postazioni pubbliche di ricarica per device elettronici: il rischio di “juice jacking” (furto di dati da caricatori pubblici) è estremamente basso.
La sicurezza informatica è una responsabilità di tutti. Il Cyber Security Awareness Month ci ricorda che la consapevolezza e l’azione sono le prime linee di difesa contro le minacce digitali. Investire qualche minuto per implementare queste misure oggi può evitare problemi molto più grandi domani. In un mondo sempre più connesso, la sicurezza inizia da ognuno di noi.