Cybersecurity: come proteggere la propria identità digitale

L’attacco informatico ai sistemi informatici della Regione Lazio ha riportato il tema della cybersecurity sotto i riflettori. La protezione dei dati archiviati nei supporti digitali, nell’ambito del privato ma ancor di più nel pubblico – nel Lazio sono stati violati dati sensibili dei cittadini relativi al loro stato di salute e alla vaccinazione contro il COVID-19 – è uno dei problemi più urgenti per una società che va sempre più digitalizzandosi.

Quello della cybersecurity è un settore costantemente alla rincorsa del fattore di rischio che cerca di contenere. Dopo un anno di pandemia, in cui il numero delle attività professionali (e non solo) trasferite in rete è aumentato a dismisura, il 40% delle grandi imprese e il 49% delle pmi italiane ha registrato un incremento del numero di attacchi informatici subiti. Per questo, nonostante la flessione economica, un buon 40% di quelle stesse grandi organizzazioni nel 2020 ha aumentato il budget destinato alla sicurezza informatica. Il giro d’affari legato a questo settore, complessivamente, è aumentato anche nel 2020, e oggi ammonta a 1,37 miliardi di euro. Cifra che, in proporzione al PIL italiano, rimane comunque abissalmente inferiore rispetto ai principali paesi industrializzati del mondo. A giugno il governo Draghi ha varato una serie di provvedimenti per istituzionalizzare l’attività di cybersecurity in Italia, ufficializzando, tra le altre cose, la nascita dell’Agenzia per la cybersicurezza nazionale (ACN).

Ma gli attacchi informatici non riguardano solo grandi aziende e pubbliche amministrazioni. I dati del rapporto 2020 della Polizia postale hanno confermato che il gran numero di attività quotidiane approdate in rete si sono tradotte in un incremento di crimini informatici anche a danno dei privati cittadini. Tra i più comuni ci sono attacchi via malware (soprattutto ransomware), attacchi DDoS con finalità estorsiva, campagne di phishing e APT (Advanced Persistent Threats) per guadagnare accessi abusivi con l’intento di carpire dati sensibili. L’emergenza Covid, peraltro, ha offerto agli hacker una chiave comunicativa in più per far abbassare la guardia alle potenziali vittime di phishing e truffe.

Nell’ultimo numero di MINT – il giornale dei collaboratori MACO – Matthias Milles, Responsabile della sicurezza IT del Gruppo, ha messo insieme un vademecum a misura del comune cittadino digitale, per difendere i propri dati dagli attacchi provenienti dalla rete.

Tracce digitali

Quando si naviga, si chatta o si usa il cellulare si lasciano tracce – scrive Milles – che possono essere utilizzate per scopi pubblicitari o di profilazione. Affinché la sicurezza del negozio di cibo per cani o del forum di artigianato non cada insieme alla sicurezza della tua intera identità digita-

le, dovreste lasciarvi meno dati possibili: l’ideale sarebbe non registrarsi; in molti negozi si può anche ordinare come ospite. Se è richiesta la registrazione, inserisci una password che usi solo lì. Una tale password è quasi inutile per un hacker perché non utilizzabile per nessun altro servizio.

Rischio di danni conseguenti

Come vittima di un furto d’identità, tuttavia, non c’è solo la minaccia di una perdita finanziaria (se, per esempio, il tuo conto bancario o la tua carta di credito vengono utilizzati in modo improprio), ma anche un danno conseguente: procedure di sollecito per ordini – apparentemente – non pagati, un deterioramento del tuo rating di credito e un procedimento penale per frode. Altri pericoli includono il danno alla tua reputazione o il ricatto per attività abusive, come quelle fatte tramite il tuo profilo social media violato. Il ladro può anche usare le tue informazioni per aprire nuovi conti di credito a tuo nome.

Fortunatamente, ci sono numerosi modi di proteggere la tua identità digitale. Tuttavia, se la tua identità digitale viene rubata, presenta immediatamente una denuncia penale alla polizia contro ignoti. Dovresti anche “ritoccare” immediatamente e cambiare tutte le password, scansionare i dispositivi mobili e i PC con programmi anti-virus aggiornati ed eliminare il malware.

Le tecniche

 Per tutti i servizi, usa il tuo indirizzo e-mail privato e una password difficile da indovinare. Per ricordare tutte le password, usa un gestore di password (come KeePass). Tieni traccia di tutte le richieste di reimpostazione della password per i tuoi account e cambia regolarmente le password. 

Installa software e applicazioni aggiornate. Gli hacker usano i cosiddetti malware come Trojan, Spyware e Keylogger per raccogliere e rubare dati sensibili. Per ridurre le possibilità di attacco, il sistema operativo e le applicazioni dovrebbero essere sempre aggiornati. Gli aggiornamenti regolari così come l’installazione rapida di patch di sicurezza colmano le lacune di sicurezza. Inoltre, dovresti scaricare solo applicazioni verificate dagli store ufficiali. È anche consigliabile controllare i diritti di accesso: alcune app, come i giochi online gratuiti, si rivelano essere dei veri e propri “mangiatori di dati”.

Installa applicazioni di sicurezza e programmi antivirus. Gli smartphone in particolare sono un bersaglio popolare per gli hacker, poiché molti dati sensibili sono raggruppati qui – di solito nemmeno ben protetti. E la quantità di specifici malware per dispositivi mobili è in costante aumento. Lo stesso vale per per i computer: per evitare attacchi da malware, si dovrebbero installare programmi antivirus e firewall aggiornati e fare regolari scansioni.

Proteggi i dispositivi dall’accesso diretto: proteggi non solo i tuoi dati, ma anche i tuoi dispositivi per evitare accessi non autorizzati o furti. Ecco perché non bisogna mai prestare smartphone e simili o lasciarli incustoditi. È importante impostare barriere d’accesso come password, PIN o riconoscimento del modello e attivare le interfacce wireless come WLAN o Bluetooth solo quando necessario e richiuderle subito dopo l’uso.

Evita di usare il Wi-Fi pubblico. Se non hai scelta, fallo sempre tramite Virtual Private Network (VPN) per assicurarti che tutta la tua attività online sia criptata. Fai attenzione a ciò che condivi sui social media. Non dare inconsapevolmente le risposte alle tue domande sulla sicurezza condividendo informazioni personali su di te o sulla tua famiglia.

Controlla spesso il vostro conto in banca e fate attenzione a tutti i cambiamenti, anche a quelli apparentemente insignificanti. Se scoprite una violazione, è della massima importanza reagire rapidamente. Considera l’uso di un software anti-tracking: per proteggere le tue tracce digitali e prevenire il “bombardamento” online invasivo, la pubblicità mirata e la discriminazione dei prezzi.

Assicurati di usare un browser aggiornato che mantenga i tuoi dati sicuri e privati. Ci sono molti modi per nascondere le tue tracce digitali e la tua attività di navigazione.

Un’altra importante barriera protettiva per i tuoi account online è l’autenticazione a più fattori (MFA). Se è attivato, hai bisogno di un codice unico in aggiunta al tuo nome utente e password quando accedi a un dispositivo. Il servizio invia questo codice al tuo cellulare tramite SMS o Applicazioni, per esempio tramite “Microsoft Authenticator” o “Google Authenticator”. L’MFA assicura che il tuo account sia ancora protetto anche se i tuoi dati di accesso cadono nelle mani di un aggressore online: se cerca di accedere con i tuoi dati, non ci riesce perché non può ricevere il codice di sicurezza. L’SMS non è un canale di trasmissione sicuro, per cui sono da preferire delle alternative.

Dovresti prestare particolare attenzione alla sicurezza del tuo account privato di posta elettronica: è la “chiave principale” della tua identità digitale. Tramite la funzione “password dimenticata” chiunque possa accedervi può accedere anche a tutti gli altri servizi usati con il tuo indirizzo e-mail. L’autenticazione a due fattori è quindi obbligatoria per il tuo account di posta elettronica. Se possibile, dovresti anche dare un’occhiata agli ultimi accessi e alle sessioni attive, di tanto in tanto.

Per scoprire se i tuoi dati sono già stati violati, puoi usare i servizi Have I Been Pwned (HIBP) (https://haveibeenpwned.com) e Identity Leak Checker

(https://sec.hpi.de/ilc/search). Entrambi i servizi accedono a database che elencano miliardi di account violati. Pwned Passwords (https://haveibe- enpwned.com/Passwords) conosce anche oltre 550 milioni di password scambiate sul web. Se inserisci lì la tua password, scoprirai se sta già circolando. In questo caso, faresti bene a cambiarla.

“Stalk yourself”: mettiti nella posizione di un estraneo che vuole scoprire il più possibile su di te. Cerca il tuo nome sul web usando motori di ricerca noti e meno noti. Inoltre, controlla se ci sono profili a tuo nome sui social network. Se hai creato in passato account che ora non usi più, dovresti cancellarli. Se scopri dei profili falsi che altri hanno creato a tuo nome, segnalali all’operatore. Se siete sui social network come Facebook, dovreste controllare quali dei vostri dati possono essere visti dagli amici o anche dal pubblico. Nelle impostazioni della privacy si determina, tra le altre cose, chi può vedere i post futuri. Anche le opzioni nella sezione “Come si viene trovati e contattati” sono molto importanti. È meglio impostare “Chi può vedere la tua lista di amici?” su “Solo io” in modo che nessuno possa vedere la tua rubrica di Facebook. Queste informazioni possono aiutare un estraneo a prendere di mira te e i tuoi amici di Facebook.