Nel 2021 il numero di violazioni dei dati registrerà una fortissima impennata. A dirlo sono gli esperti di di Cyber Protection, che lanciano l’allerta soprattutto verso le aziende (circa l’80%) che non hanno ha ancora imposto criteri per l’utilizzo delle password. Acronis, leader nella Cyber Protection, ha richiamato l’attenzione sui risultati delle recenti ricerche sulle tendenze degli attacchi informatici e sulle procedure aziendali in vigore, evidenziando una potenziale minaccia globale alla privacy e alla sicurezza dei dati delle organizzazioni di tutto il mondo. L’azienda ha presentato questi risultati durante il Data Privacy Day, per mettere in guardia le imprese sull’esigenza di azioni immediate per evitare attacchi potenzialmente devastanti.
Password troppo deboli
L’analisi effettuata dagli esperti mette in luce che l’80% delle aziende non ha ancora imposto criteri per l’uso delle password. Tra il 15 e il 20% delle password utilizzate negli ambienti di business include il nome dell’azienda, una modalità che ne semplifica l’individuazione. Come riporta la nota di Acronis, “Due recenti violazioni di alto profilo esemplificano il problema: prima dell’attacco alla sua piattaforma Orion, l’azienda SolarWinds era stata avvisata della presenza di una password debole di uno dei server di aggiornamento: “solarwinds123”; secondo alcune informazioni, l’account Twitter dell’ex presidente Donald Trump fu hackerato perché la password “maga2020!” era facilmente intuibile”. Insomma, anche i colossi devono sapersi tutelare.
I rischi connessi allo smartworking
La larga diffusione dell’uso di password deboli e l’elevato numero di dipendenti che lavorano da casa come conseguenza dell’emergenza sanitaria legata al Covid-19 rendono poco sicuri i sistemi di questi telelavoratori, e gli hacker ne approfittano. Nel corso del 2020, gli analisti hanno registrato un sostanziale aumento del numero degli attacchi cyber, con una forte incidenza dello stuffing delle password, al secondo posto dopo il phishing.
Adozione di tecniche di autenticazione più rigide
Per evitare che una violazione dei dati provochi costosi tempi di inattività, danni alla reputazione e sanzioni amministrative, le organizzazioni devono rafforzare i requisiti di autenticazione necessari per accedere ai dati aziendali. Ecco alcune best practies suggerite dagli esperti: “L’autenticazione a più fattori (MFA), che richiede agli utenti di completare due o più metodi di verifica per accedere alla rete, ai sistemi o alla VPN dell’azienda, dovrebbe diventare la norma in tutte le organizzazioni. Combinando le password con un metodo di verifica aggiuntivo, come la scansione dell’impronta digitale o un PIN casuale generato da un’app mobile, l’azienda resta protetta anche se il criminale indovina o manomette la password di un utente. Il modello Zero trust dovrebbe essere adottato per garantire la sicurezza e la privacy dei dati. A tutti gli utenti, che lavorino da remoto o all’interno della rete aziendale, è richiesto di autenticarsi, di comprovare le autorizzazioni di accesso e di convalidare costantemente la propria identità per accedere e utilizzare i dati e i sistemi dell’azienda. L’analisi comportamentale di utenti ed entità, o UEBA (User and Entity Behavior Analytics), facilita l’automazione della protezione aziendale. Monitorando la normale attività degli utenti tramite analisi statistiche e basate su IA, il sistema individua i comportamenti che esulano dagli standard, in particolare quelli che possono indicare una violazione e un furto di dati in corso”.