Nell'ultimo periodo giorni è stata rilevata nella zona dell’Ovest Vicentino la circolazione di virus tramite PEC. Si tratta solo dell’ultimo episodio di rischio telematico in ordine di tempo e non sarà certo l’ultimo. Ricordiamo ad esempio la violazione del sistema informatico avvenuto nel marzo dello scorso anno ai danni del pronto soccorso dell’ospedale di Arzignano. L'attacco era avvenuto sempre tramite Posta elettronica certificata, con un tipo di malware chiamato ransomware. È bene quindi non abbassare la guardia su questo aspetto della sicurezza aziendale.
Un ransomware è un programma dannoso che attacca un dispositivo elettronico. Come? Criptandone i contenuti, ovvero rendendoli inutilizzabili da parte del proprietario del computer. Quest’ultimo, per poter tornare in possesso dei propri dati, è costretto a pagare un riscatto (in inglese: "ransom") a chi ha lanciato l’attacco. Senza garanzia, va ricordato, che dopo il pagamento l’hacker gli invii i codici per liberare il proprio computer dal virus.
La PEC (posta elettronica certificata), com’è noto, è un tipo di posta elettronica, obbligatoria per tutte le aziende dal 2012, che ha valore legale analogo ad una raccomandata con ricevuta di ritorno. In teoria, si tratta di un metodo di comunicazione più sicuro dei comuni servizi email. Ma anche la PEC può nascondere delle insidie. Infatti, i ransomware hanno trovato modo per intrufolarsi anche qui..
Ma come avvengono questi attacchi di virus tramite PEC? Travestendosi da contenuto ufficiale. Dato che le PEC vengono usate prevalentemente dalle aziende e dalle pubbliche amministrazioni, i ransomware potrebbero essere inseriti negli allegati. Ad esempio, una fattura in scadenza o comunicazioni simili. Il mittente spesso è un contatto realmente presente nella propria rubrica, ignaro propagatore del virus in quanto a sua volta vittima di hacker.
Allegato a queste mail difficilmente distinguibili da una reale, c’è un file che contiene una “macro” infetta. Una macro è un piccolo software che si può inserire in un documento di testo o foglio di calcolo. Attivandola si aprono le porte al virus. Questo cripta tutti i dati del computer (documenti, foto, video, database, ecc), rendendoli illeggibili e inutilizzabili. Questo rappresenta un problema di per sé, perché la perdita di documenti e informazioni può minare l'attività. Ma dopo l’introduzione del GDPR si configura anche come un “data breach”, ovvero una violazione di dati personali.
È importante sapersi difendere da tutti i malware, compresi gli attacchi di virus tramite PEC. Ciò anche perché il regolamento europeo sulla privacy prescrive alle aziende di mettere in campo tutte le misure adeguate e necessarie per proteggere i dati personali in loro possesso. Innanzitutto installando un antivirus efficace e affidabile. Poi attraverso la formazione e l’informazione del personale sulle procedure corrette da seguire. La prima causa di attacco informatico infatti è l’errore umano. Una norma di buonsenso è di sospettare di tutta la posta elettronica. Inoltre non abilitare le macro e, in caso di dubbio, evitare di aprire gli allegati. Potete trovare altri consigli di sicurezza informatica anche in un precedente articolo del nostro blog.
Ricordiamo che le spese finalizzate alle attività di formazione finalizzate all’acquisizione o al consolidamento, da parte del personale dipendente delle competenze nelle tecnologie rilevanti per la realizzazione del processo di trasformazione tecnologica e digitale delle imprese previsto dal Piano nazionale Impresa 4.0 sono finanziabili col bonus formazione 4.0.
Se il computer di una pubblica amministrazione o di un’azienda viene infettato da un ransomware o altro virus tramite PEC o è attaccato dagli hacker cosa si rischia oltre alla perdita dei dati? In caso di data breach, il fatto va notificato al Garante della privacy entro 72 ore da quando se ne viene a conoscenza. Nel caso che le misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione risultino inadeguate, il GDPR applica la sanzione pecuniaria pari al 2% del fatturato dell'intera società. Fino a 10 milioni di euro. Nel caso di un data breach non notificato, le autorità assumono che le misure di sicurezza fossero inadeguate. In tale caso si applica una doppia sanzione.
Siamo a disposizione per offrirvi tutta la consulenza necessaria a mettere in regola la vostra azienda dal punto di vista della tutela dei dati e della privacy. Per qualsiasi informazione, contattaci. Ci trovi ad Arzignano, in provincia di Vicenza.
