Sicurezza Informatica: vademecum per dipendenti

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato nei giorni scorsi un Vademecum con le buone pratiche per evitare attacchi informatici nella Pubblica Amministrazione. La PA è infatti sempre di più un bersaglio del cybercrime, destinataria del 20% degli attacchi subiti dall’Italia negli ultimi anni. Con un aggravante: circa la metà dei 756 eventi malevoli che si sono verificati lo scorso anno  è stato determinato da errori umani.

Da qui la realizzazione della guida per i dipendenti della PA (ma adatta anche a quelli del settore privato), che, partendo dagli accorgimenti classici (utilizzo di password sicure, autenticazione a due fattori, cancellazione mail sospette senza apertura dei link ivi contenuti, ecc.) a quelli più specifici e legati all’utilizzo delle nuove tecnologie (es.: niente dati sensibili in una chat di intelligenza artificiale).

PA, fattore umano e rischio Cyber

Spesso, sono comportamenti apparentemente del tutto innocui a consentire ai pirati informatici di “bucare” un sistema per eseguire azioni criminali (come sottrarre dati sensibili o bloccare un’attività).

Prendiamo ad esempio un classico attacco ransomware (che infetta un sistema con un software malevolo per prenderne il controllo e chiedere un riscatto per sbloccarlo): spesso viene introdotto attraverso la mail di un dipendente o un dispositivo hardware di uso comune (come una chiavetta). I cybercriminali possono inviare un messaggio di posta elettronica che sembra innocuo ma in realtà contiene un link malevolo, cliccando sul quale si crea una vulnerabilità del sistema.

Vademecum ACN per dipendenti pubblici

Ecco di seguito i 12 consigli dell’Agenzia per la Cybersicurezza Nazionale, raccolti nel Vademecum pubblicato su NoiPA (Buone pratiche di cyber hygiene per i dipendenti delle pubbliche amministrazioni).

• La password da sola non è una credenziale sicura, è sempre consigliabile proteggere un sistema attraverso un’autenticazione a due fattori. Significa che, dopo aver inserito la password, scatta un secondo fattore di accesso, come l’invio di un codice temporaneo via app o via SMS.
• In ogni caso le password vanno adeguatamente tutelate. Innanzitutto, non vanno mai condivise con nessuno. In secondo luogo, vanno scelte con attenzione, evitando meccanismi facili da indovinare: date di nascita, nomi, parole comuni. E devono essere robuste, quindi contenere diverse tipologie di caratteri (lettere, numeri, segni grafici). Infine, non bisogna mai utilizzare la stessa password per servizi personali e accessi all’amministrazione.
• Non lasciare mai un’utenza connessa inutilmente, quando ci si allontana dal pc bisogna sempre scollegarsi.
• Effettuare sempre gli aggiornamenti appena sono disponibili, in modo da rendere il sistema il più possibile protetto.
• Non installare software che non siano autorizzati, ad esempio scaricandoli dalla rete. Anche se sembrano innocui possono contenere virus. Per qualsiasi esigenza, è sempre consigliabile rivolgersi ai tecnici informatici.
• Stesso discorso per l’hardware. Non utilizzare in ufficio chiavette, hard disk esterni o dispositivi personali. Il motivo è sempre lo stesso: potrebbero infettare la rete. Al pc e ai dispositivi aziendali bisogna sempre collegare solo hardware autorizzato.
• Le email sono un veicolo molto utilizzato per sferrare cyberattacchi. Prima di aprire un messaggio, bisogna sempre controllare il mittente con attenzione. E nel caso in cui ci sia un dubbio, è sempre utile segnalarlo ai tecnici.
• Non iscriversi con l’account istituzionale a newsletter, siti commerciali, gruppi privati, in genere a servizi non autorizzati. Ogni iscrizione esterna espone l’amministrazione a rischi di tracciamento, spam e attacchi mirati.
• Segnalare sempre l’eventuale smarrimento di un dispositivo aziendale, anche se si tratta di una semplice chiavetta USB. Capita di nasconderlo sentendosi in colpa, ma si tratta di un gesto di responsabilità.
• Ricordarsi che le reti pubbliche, come un free wi-fi, possono rappresentare una vulnerabilità. La cosa migliore è attivare una VPN, meglio se fornita dall’amministrazione. Il vademecum segnala: meglio una connessione lenta ma protetta, che una veloce ma pericolosa.
• Così come bisogna stare attenti ad aprire mail sospette o a connettere dispositivi non autorizzati, è necessario essere attenti a qualsiasi anomalia del sistema. A fronte di un fatto non comune, anche un semplice rallentamento, o un accesso strano, devono essere segnalati.
• Le chatbot di intelligenza artificiale, a meno che non siano autorizzate dal datore di lavoro, non sono ambienti protetti, di conseguenza bisogna stare attenti a non inserire contenuti sensibili.