Gli attacchi cyber sono in aumento. Un fenomeno sempre più documentato dalla cronaca e analizzato dal Rapporto CLUSIT, che ne attesta per lo scorso anno un incremento del 169% in Italia. In particolare, si registra un’escalation di offensive verso le piccole realtà: tra queste, anche gli Studi dei Commercialisti sono notevolmente a rischio.
Cybercrime: commercialisti nel mirino
La motivazione principale è correlata all’organizzazione degli Studi, molto spesso di piccole dimensioni e dunque privi sia di un reparto dedicato alla sicurezza informatica, sia di personale con una formazione specifica.
Considerando che in Italia si contano circa 64.000 Studi di Commercialisti (di cui il 61% è stato classificato come studio individuale) che trattano ogni giorno informazioni altamente sensibili, dati personali e particolari, è chiaro come l’attenzione alla cyber security debba essere cruciale.
Per conseguire la gran maggioranza dei loro obiettivi gli hacker tendono a utilizzare malware (software malevoli prodotti industrialmente a costi decrescenti in infinite varianti; molto diffusa è la tipologia dei ransomware, cioè a scopo di ricatto), a sfruttare le vulnerabilità delle reti nonché le disattenzioni dei singoli individui con tecniche di Phishing / Social Engineering relativamente semplici. Elemento di particolare rilevanza è l’incremento di attacchi alla supply chain, ovvero con una compromissione di terzi facenti parte della stessa rete. Gli Studi dei Commercialisti ne sono un esempio perfetto. Avendo tipicamente infrastrutture difensive poco sofisticate, consentono di ampliare il numero delle vittime degli attacchi, permettendo agli hacker di passare più facilmente inosservati e colpire anche i clienti, fornitori e partner dei Professionisti.
I rischi per gli studi
Numerosi i rischi per gli Studi: dal blocco dell’attività, alla perdita dei dati dei clienti, alla diffusione dei “virus” anche presso clienti e fornitori, a sanzioni amministrative di importi anche ragguardevoli; le quali possono comunque non essere la calamità peggiore se pensiamo ai conseguenti danni reputazionali con annessa riduzione della credibilità.
Per loro configurazione, gli Studi hanno infatti sempre più connessioni digitali con i fornitori e i clienti. Questo, unitamente alla diffusione dello smart working anche all’interno delle realtà professionali, è fonte di ulteriori rischi. I criminali informatici hanno spostato la propria attenzione verso il punto più debole della catena, ovvero l’endpoint: il pc del dipendente. La crescita del numero di attacchi indirizzati ai pc personali è ben comprensibile, considerando che molte aziende non dotano i propri dipendenti di laptop aziendali per lo smart working, con conseguente utilizzo di dispositivi personali, solitamente maggiormente vulnerabili a malware ed altre tecniche di attacco.
Strumenti e strategie da attuare per minimizzare i rischi di attacco
La cyber security deve essere valutata non solo dal punto di vista tecnico, ma anche prendendo in considerazione il rispetto della policy: mettere in atto strategie, procedure, politiche di sensibilizzazione del personale e controlli periodici può fare la differenza.
Strumenti particolarmente utili a disposizione degli Studi professionali sono il Vulnerability Assessment e il Penetration Test, i quali permettono di fare un punto della situazione e verificare la tenuta dell’infrastruttura informatica contro gli attacchi hacker, così da acquisire consapevolezza del livello di sicurezza della propria realtà.
Altra modalità interessante può essere l’utilizzo di strumenti di simulazione di attacchi come quelli relativi al phishing (e-mail che sembrano provenire da mittenti conosciuti con il fine di “ingannare” i destinatari) per valutare come la sensibilizzazione a tali argomenti sia effettivamente recepita e attuata nei comportamenti dei collaboratori.
La valutazione deve quindi coinvolgere tanto i sistemi quanto le persone.
Le minacce informatiche continueranno a rappresentare una sfida per la sicurezza degli Studi dei Commercialisti, e così le organizzazioni dovranno continuare a investire in tecnologie di sicurezza avanzate e in programmi di formazione per le proprie risorse.
Al fine di ridurre i rischi di danni causati dagli attacchi cyber è infatti fondamentale promuovere anche una formazione continua, coinvolgendo il personale in lezioni teoriche e simulazioni, per arrivare poi a una sensibilizzazione completa e ad un costante aggiornamento vista la repentina evoluzione delle tecniche di attacco.
Il fatto che gli attacchi in Italia siano quasi sempre compiuti con tecniche standardizzate conferma come l’aumento dei danni sia causato in gran parte dai forti limiti ancora presenti nella capacità di difesa degli utenti. Fenomeno che trova corrispondenza anche all’estero: come rilevato dal Rapporto CLUSIT il 64% degli incidenti hanno come causa azioni dirette da parte delle vittime.
I principi del GDPR a supporto della sicurezza informatica
Considerando che i dati gestiti dai commercialisti saranno sempre più frequentemente digitalizzati, si innestano dunque implicazioni tra la sicurezza cyber e il GDPR. Non solo, i principi del GDPR possono in realtà diventare strumenti attivi e punti di riferimento per poter potenziare la sicurezza informatica degli Studi, come dimostrato dallo schema qui di seguito:
Ad oggi manca ancora da parte dei Titolari degli Studi e dei loro dipendenti una piena consapevolezza sia della quantità e importanza dei dati gestiti, sia delle forme di difesa che possono mettere in atto: il GDPR si configura quindi per il Professionista come uno strumento utile per valutare concretamente il patrimonio di dati in gestione e riuscire così ad analizzare i rischi cyber a cui lo Studio è potenzialmente esposto. Inoltre, richiedendo una cernita di quanto è effettivamente necessario conservare, porta a minimizzare la quantità di informazioni archiviate e, conseguentemente, a ridurre i danni di eventuali attacchi.
