attacco-hacker-petya

Il nuovo attacco hacker globale: come difendersi da NotPetya

Ci risiamo. A un mese e mezzo dal devastante WannaCry, un nuovo attacco hacker sta paralizzando mezzo mondo.

Il nuovo ramsonware si chiama Petya (o NotPetya), ha colpito alcune importanti infrastrutture critiche ucraine (tra cui la Banca Centrale, la maggiore compagnia energetica nazionale e la centrale di Chernobyl) per poi diffondersi a macchia di leopardo nel resto del mondo: dalla compagnia navale danese Maersk, al colosso petrolifero russo Rosneft, passando per il gruppo pubblicitario Wpp, il gruppo francese Saint Gobain, la casa farmaceutica Merck, fino ad arrivare in Italia dove ha colpito i server di DLA Piper, uno studio legale internazionale.

A farne le spese sono stati, almeno stando alle informazioni note fino ad ora, oltre 12 mila computer.

Rispetto a WannaCry il nuovo ramsonware sembra essere più sofisticato. Come ha confermato al Corriere della Sera Gianluca Varisco, Responsabile della cyber sicurezza nel team per la Trasformazione Digitale del Governo, sebbene abbia caratteristiche simili, per questa variante non sembrerebbe essere possibile fermare la propagazione da remoto mentre risulterebbe essere in grado di aggredire e infettare altri sistemi all'interno della stessa rete.

Come agisce Petya / Not Petya

Il ransomware è un software malevolo che si insinua nel dispositivo, rende inaccessibili i file presenti sul disco rigido e chiede un riscatto per ottenere il codice per «liberarli» e riprenderne il controllo.

L’infezione avviene tramite l'apertura di un allegato malevolo all'interno di un messaggio di posta.

Sul monitor dell'utente compare quindi la richiesta del pagamento di un riscatto di circa 300 dollari in bitcoin. Ma, attenzione!, l'indirizzo email segnalato per comunicare il pagamento del riscatto è stato prontamente bloccato dal provider, quindi, chiunque paghi non avrà indietro i suoi file.

Come difendersi

Anche in questo caso, come successo per WannaCry, Petya era già conosciuta dai ricercatori informatici - per diffondersi sfrutta una vulnerabilità del sistema operativo Windows - e l’arma, un codice chiamato «EternalBlue», era già stato scoperto e sfruttato dall’Nsa, l’Agenzia americana per la sicurezza nazionale. Tutto il mondo era venuto a conoscenza della sua esistenza grazie a una fuga di notizie pubblicata da Wikileaks, Microsoft aveva corretto la falla, ma per i computer non aggiornati la vulnerabilità nel software esiste ancora. Quindi, come sempre è importante:

  1. Aggiornare costantemente tutti i sistemi
  2. Fare il back up quotidiano dei dati su computer, smartphone, server, …
  3. Conservare le copie dei dati su dispositivi di archiviazione separati e anche distanti fra loro. Una delle copie può essere archiviata in cloud.

Intanto il ricercatore Amit Serper ha trovato un "vaccino" per rendere i computer immuni a Petya/NotPetya.

Ha analizzato il processo con il quale NotPetya infetta un PC e individuato un'operazione per renderlo inoffensivo: in pratica ha scoperto che il ramsonware si aggancia a un file locale per diffondersi all'interno della macchina e che, creando un file di sola lettura dal nome “perfc” nella cartella C:Windows, non ha più possibilità di diffondersi (qui la guida utile a chi ancora non è stato infettato).

 

COSA POSSIAMO IMPARARE

Questo ennesimo attacco ci ricorda quanto ci sia ancora da fare per affrontare la principale minaccia alla sicurezza globale di questo millennio.

Sappiamo che ogni innovazione si accompagna sempre a nuovi rischi. In particolare l’innovazione digitale, che ha pervaso ogni aspetto della nostra vita lavorativa e personale, rappresenta oltre che una fantastica opportunità anche una grande minaccia che ci rende tutti più vulnerabili.

In particolare le imprese operano ormai in un ambito globale e interconnesso che, per sua natura, è più fragile: è necessario che venga completamente ripensata la strategia di risk management.

Bisogna imparare a conoscere la minaccia in ambito cyber per difendersi preventivamente e acquisire quindi un vantaggio anche in termini di competitività.

In Italia si sono fatti passi avanti razionalizzando, da un punto di vista normativo, l'architettura di comando e controllo della cyber security nazionale e stanziando maggiori risorse economiche per rafforzare le organizzazioni che materialmente si occupano della protezione delle reti nazionali più sensibili.

Se da una parte è fondamentale che tali risorse vengano incrementate per arrivare almeno al livello di quelle stanziate dagli altri Paesi europei e per rafforzare il necessario know how scientifico nazionale, dall’altra è indispensabile che tutte le imprese italiane, PMI comprese, aumentino la loro consapevolezza circa i rischi derivanti da un inadeguato livello di protezione cyber aziendale.

Come dice Andrea Margelletti, Presidente del Ce.S.I. - Centro Studi Internazionali,

Mai come in questo dominio, spetta non solo al decisore politico, ma anche al sistema imprenditoriale nazionale, decidere se affrontare compiutamente la sfida cyber e i relativi investimenti salvaguardando il know how e il Pil nazionale o se, invece, continuare con il piccolo cabotaggio e condannare il Paese alla retrocessione al Terzo Mondo digitale”.

 

Ecco i 15 Controlli Essenziali di Cybersecurity per le PMI proposti dal Cybersecurity Report 2016, realizzato dal Research center of cyber intelligence and information security dell’Università Sapienza di Roma e dal Laboratorio Nazionale Cini (Consorzio interuniversitario nazionale per l’informatica) :

  1. verificare che in azienda esista e sia mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
  2. assicurarsi che i servizi web (social network, cloud computing, posta elettronica, spazio web, ecc) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
  3. individuare informazioni, dati e sistemi critici per l’azienda affinché siano adeguatamente protetti.
  4. nominare un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
  5. identificare e rispettare leggi e/o regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
  6. verificare che tutti i dispositivi che lo consentono siano dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornati.
  7. password diverse per ogni account, della complessità adeguata, valutando anche l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (come l’autenticazione a due fattori).
  8. accertare che il personale autorizzato all’accesso, remoto o locale, ai servizi informatici disponga di utenze personali non condivise con altri, che l’accesso sia opportunamente protetto e che i vecchi account non più utilizzati siano disattivati.
  9. ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
  10. il personale deve essere adeguatamente sensibilizzato e formato sui rischi di cyber security e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali; i vertici aziendali dovranno predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
  11. verificare che la configurazione iniziale di tutti i sistemi e dispositivi sia svolta da personale esperto, responsabile per la configurazione sicura degli stessi, e che le credenziali di accesso di default siano sempre sostituite.
  12. eseguire periodicamente backup delle informazioni e dei dati critici per l’azienda, conservarli in modo sicuro e verificarli
  13. verificare che le reti e i sistemi siano protetti da accessi non autorizzati
  14. servono strumenti specifici, in caso di incidente vanno informati i responsabili della sicurezza e i sistemi vanno messi in sicurezza da personale esperto.
  15. tutti i software in uso (inclusi i firmware) devono essere aggiornati all’ultima versione consigliata dal produttore.
Nave container

Insolvenza del vettore marittimo, come tutelarsi

Too big to fail? No, ormai il detto è superato. Il perdurare della crisi economica ha spazzato via alcune certezze e, così come è capitato a istituti bancari storici, anche il settore marittimo ha dovuto fare i conti negli ultimi anni con la crisi di diversi vettori. Enorme clamore ha avuto il fallimento della coreana Hanjin Shipping, settimo player a livello mondiale con una flotta di oltre 140 navi portacontainer, che nel 2016 ha dichiarato bancarotta, fermando 85 navi con a bordo migliaia di container. Il valore stimato delle merci bloccate è pari a circa 14 miliardi di dollari, causando gravi ritardi causati nella consegna delle merci con notevoli costi e spese del tutto imprevisti dagli operatori, con una ricaduta pesantissima sulle aziende manifatturiere.

Moltissime quindi le implicazioni: sono 43 gli Stati dove Hanjin deve affrontare le corti di giustizia, diversi i porti a cui non sono state pagate le tasse di ancoraggio o i servizi (rimorchio, ormeggio), i terminal che hanno caricato e scaricato le navi Hanjin a credito, il Canale di Suez al quale non hanno pagato il pedaggio e non forniva il lascia passare alle loro navi, i fornitori di bordo, le agenzie di reclutamento degli equipaggi, quelle di gestione della nave.

QUALI LE CONSEGUENZE PER LE AZIENDE?

Le aziende proprietarie delle merci spedite via mare e le stesse case di spedizione hanno dovuto sostenere importanti costi per liberare le loro merci, trasbordarle e inoltrarle a destino con una totale incertezza sulle possibilità del loro recupero nell’ambito della procedura fallimentare.

QUALE COPERTURA ASSICURATIVA SERVE?

Le clausole di riferimento per l’assicurazione dei rischi del trasporto delle merci sono le Institute Cargo Clauses (ICC), elaborate dall’Institute of London Underwriters. L’edizione del 1982, la più utilizzata, pur essendo prestata su basi all risks, ha tra le principali e significative esclusioni proprio la mancata copertura dei danni e conseguenti costi derivanti da insolvenza o inadempienza finanziaria del proprietario, dell’armatore, noleggiatore o gestore della nave. Anche la successiva e più recente versione del 2009, ancora poco diffusa in Italia, che ha attenuato tale esclusione, lascia ancora diversi dubbi interpretativi sulla sua effettiva validità.

Per soddisfare questa esigenza, la Divisione Trasporti di Assiteca ha definito con Navigators Underwriting Ltd, assicuratori ai Lloyd’s of London, una copertura assicurativa esclusiva che indennizza i costi e le spese supportate dal contraente e/o dall’avente diritto a causa di insolvenza, morosità o inadempienza finanziaria degli armatori, proprietari o gestori della nave.

Una soluzione innovativa che consente di proteggersi da questo nuovo ed imprevedibile rischio.

Welfare Metalmeccanici

Contratti aziendali, è partita la rivoluzione welfare

Nel contratto dei metalmeccanici servizi di welfare a partire da giugno

Il welfare aziendale è diventato il grande protagonista della contrattazione nazionale. A fare da apripista in questa nuova stagione delle relazioni industriali è stato, come da tradizione, il rinnovo del contratto dei metalmeccanici. Sono state infatti introdotte nuove e importanti misure di welfare a favore non solo del lavoratore ma anche dei familiari a carico e dei conviventi.

Ogni azienda del comparto metalmeccanico a partire dal mese di giugno è obbligata ad attivare a favore dei propri dipendenti un piano di flexible benefits che, per il 2017, sarà pari a 100 euro, ma che salirà a 150 euro per il 2018 e a 200 l’anno successivo.

L’incentivo sarà erogato a tutti i lavoratori assunti con contratto a tempo indeterminato, determinato con durata superiore ai 3 mesi, ma potranno beneficiarne anche i lavoratori assunti con contratto part-time.

Molti i servizi ai quali si potrà accedere:

  • Prestazioni di assistenza sanitaria;
  • Prestazioni di assistenza sociale e familiare (per case di riposto, badanti);
  • Corsi di formazione;
  • Viaggi, abbonamenti a pay-tv o a teatri e cinema.

Non solo: è possibile fruire del welfare anche per accedere a prestazioni di educazione e istruzione dei familiari, per assistere anziani non autosufficienti o per accedere a beni in natura come buoni spesa, carburante e ricariche telefoniche.

Metasalute, il fondo sanitario integrativo dei metalmeccanici, è stato esteso e rafforzato: il costo, a carico del lavoratore per una quota di 3 euro mensili, ovvero 36 euro annuali, sarà dal 1 ottobre 2017 totalmente a carico del datore di lavoro e dalla stessa data le prestazioni saranno ampliate.  

Il nuovo contratto metalmeccanico prevede inoltre un percorso di formazione di 24 ore obbligatorio nel triennio completamente a carico delle aziende. Qualora queste non fossero attrezzate, saranno tenute a riconoscere al lavoratore un contributo fino a 300 euro spendibile in formazione.

La previdenza integrativa complementare, che gravita attorno al fondo Cometa, inciderà sui conti delle aziende non più per l’1,6% ma per il 2% con l’obiettivo di incentivarne la valorizzazione per accrescere le adesioni e garantire maggiore sicurezza al futuro dei lavoratori.

IL VALORE DEL WELFARE IN AZIENDA

Introdurre il welfare in azienda significa agire direttamente sullo schema retributivo del lavoratore, cambiandone il paradigma e impattando positivamente su reddito, fiscalità, motivazione e produttività. Può essere definito il nuovo pilastro della retribuzione.

Il welfare aziendale, soprattutto nel difficile contesto socio economico che si sta affrontando, si rivela uno strumento potentissimo perché può rappresentare sia un vantaggio per le imprese, sia un beneficio per i dipendenti che ne usufruiscono.

COME PREDISPORRE E OFFRIRE UN PIANO DI WELFARE AZIENDALE

Se per i lavoratori significa avere a disposizione servizi e soluzioni che possano concorrere a migliorare la loro vita privata, aumentandone anche il potere di acquisto, per le aziende significa riuscire a implementare un sistema strutturato che possa sia rispondere alle nuove disposizioni contrattuali sia soddisfare e fidelizzare i lavoratori.

Un impegno notevole per le aziende di qualsiasi dimensione che devono confrontarsi con aspetti normativi, servizi da erogare, beni da acquistare.

Per predisporre un piano di welfare aziendale è opportuno quindi affidarsi a specialisti che possano offrire servizi modulati sulle esigenze delle singole realtà e che sollevino l’azienda dalla predisposizione e gestione di complessi piani.

Assiteca da anni si fa promotrice dello sviluppo della cultura del welfare in Italia mettendo a disposizione di piccole, medie e grandi imprese tutti gli strumenti, le competenze e le tecnologie per costruire programmi di flexible benefit dedicati.

A testimonianza di questo impegno, lo scorso aprile è stata tra i primi firmatari del protocollo per la costituzione di un Osservatorio sul Welfare promosso da Assolombarda con l’obiettivo di monitorare il mercato, condividere le best practices e promuovere il welfare aziendale come strumento per aumentare la competitività delle imprese e migliorare il clima aziendale.

Di recente Assiteca è entrata a far parte di AIWA - Associazione Italiana Welfare Aziendale che si candida ad essere l’interlocutore privilegiato di istituzioni e parti sociali per l’individuazione delle soluzioni legislative, amministrative e contrattuali favorevoli alla maturazione condivisa delle politiche di welfare attivabili in ogni luogo di lavoro.

Assiteca SIM - gestione portafogli

Assiteca SIM: ok della Consob al servizio di Gestione di portafogli

Assiteca SIM ha ricevuto da parte della Consob l’autorizzazione allo svolgimento del servizio di Gestione di portafogli.
Nel nuovo servizio sarà replicato il modello di business adottato per il servizio di Consulenza finanziaria indipendente, basato sull’applicazione della metodologia del Value Investing. 

L’offerta prevede l’introduzione di tre linee di gestione standardizzate, tutte con leva finanziaria massima pari a 1, e di linee di gestione personalizzate in funzione di particolari richieste della clientela.
Il servizio di Gestione apre definitivamente la strada alla clientela istituzionale e alla commercializzazione di strumenti di investimento innovativi.

Server - sicurezza informatica

Cyber Security, ancora pochi gli investimenti

Il rischio attachi informatici è ancora sottovalutato dalle aziende

Chissà se la tempesta Wannacry è riuscita a far comprendere alle aziende quanto sia importante tutelare la propria impresa dal rischio cyber. Con l’Industria 4.0 sempre più connessa, il rischio che macchinari, raccolte o trasmissioni di dati si fermino a scapito della business continuity è molto elevato. E può capitare davvero a qualsiasi realtà di trovarsi all’improvviso a dover fronteggiare una situazione di crisi: basti pensare che nel settore metallurgico ci sono stati casi di hackeraggio che hanno influito sulle colate dei materiali.

Eppure l’Italia secondo l’Accenture Security Index è in undicesima posizione (su 15 paesi esaminati) per le azioni di cyber security effettuate dalle aziende.

Sicurezza Informatica

Le nostre aziende, come riportato da Il Sole 24 Ore, presentano elevate performance solo in 10 dei 33 ambiti (29%), posizionando il nostro paese prima di Norvegia, Germania, Australia e Spagna. Più strutturate sono invece Gran Bretagna e Francia (44%). Gli ambiti in cui siamo più preparati riguardano:

  • i piani di cyber response;
  • il supporto al rischio IT;
  • il processo di comunicazione in caso di incidente informatico;
  • la responsabilità della cyber security;
  • l’approccio alle architetture basato sulla cyber security.

Al contrario, le aziende non sono ancora adeguatamente strutturate per gestire questi aspetti:

  • identificazione degli asset di alto valore e dei processi di business;
  • investimenti in cyber security a tutela degli asset chiave;
  • inclusione dei finanziamenti alla cyber security nei piani dell’IT;
  • cyber security delle terze parti;
  • clausole di sicurezza per le terze parti.

PMI: ANCORA POCHI INVESTIMENTI IN SICUREZZA INFORMATICA

Implementare una strategia di sicurezza informatica è ormai essenziale per qualsiasi realtà. Il mercato delle soluzioni in cyber security ha raggiunto in Italia nel 2016 un giro di affari pari a 972 milioni, in crescita del 5% rispetto all’anno precedente. La quota di investimenti da parte delle grandi aziende è pari al 74%, mentre le PMI hanno speso in sicurezza informatica solo poco più 250 milioni. Questo dato denota come le medie imprese siano ancora inconsapevoli dei rischi che corrono.  Lo confermano anche i dati del Politecnico: il 93% delle PMI che ha dedicato un budget alla sicurezza informatica lo ha fatto senza un utilizzo consapevole e maturo. Le risorse vengono dedicate soprattutto all’adeguamento normativo (48%) per il quale solo il 9% delle PMI ha programmi di formazione specifici.

Il Governo sta tentando di intervenire attraverso il piano Industria 4.0 nel quale sono presenti agevolazioni per investimenti in sicurezza informatica.

WANNACRY: CHE COS’E’ E COME DIFENDERSI

Il ransomware WannaCry ha colpito lo scorso 12 maggio oltre 150 paesi facendo almeno 200.000 vittime. Sono stati infettati i sistemi informatici di realtà come Deutsche Bahn, FedEx, Renault e il Ministero dell’interno Russo. In Italia è stata colpita l’Università degli Studi di Milano.

Come fare per tutelarsi?

 

Serate CMC - Lucio Dalla

Musica e parole, ecco Lucio Dalla

Una serata per ricordare Lucio Dalla, la sua umanità, la sua arte.

In concomitanza con la manifestazione che si terrà a Bologna, sua città natale, il Centro Culturale di Milano ha deciso di dedicare uno degli incontri “Serate di parole e musica live”, di cui Assiteca è sponsor, al genio di Dalla.

Giorgio Comaschi, giornalista, conduttore televisivo e amico personale del cantautore, racconterà vita, arte e aneddoti relativi a Dalla. Alle sue parole si alterneranno i contributi video e le performance live di Walter Muto.

Una serata unica per tutti i fan del cantautore e anche per chi lo ha apprezzato per la sua poetica e ironia.

L'appuntamento è in Largo Corsia dei servi 4 presso l'Auditorium del Centro Culturale di Milano.

Internet - l'opinione degli europei

Internet, che cosa si aspettano i cittadini europei?

A chi interessa il futuro di internet? Solo a una piccola parte della popolazione, in maggioranza uomini fra i 25 e i 55 anni, laureati e che spesso lavorano nel settore. E’ quanto emerge dall’indagine REIsearch Internet the future Initiative condotta da Atomium – European Institute for Science, Media and Democracy e ripresa dal Sole 24 Ore.

La consultazione online ha coinvolto ben 23 mila persone ottenendo 4 mila risposte; l’obiettivo era legato al coinvolgimento dei cittadini europei sul futuro della rete e dei suoi utilizzi. A rispondere sono stati per meno del 25% donne e meno dell’1% ragazzi sotto i 16 anni, che, anche dal monitoraggio delle conversazioni social sui futuri sviluppi della rete, risultano i meno coinvolti dall’argomento.

PRIVACY E SICUREZZA DEI DATI LE PRIORITA’ PER GLI UTENTI
Neutralità della rete e accesso garantito a tutti, tutela della privacy, sicurezza e protezione dei dati di chi naviga sono le priorità dei cittadini, che attendono risposte dalle strategie digitali dell’Unione Europea e dai singoli stati Membri. La privacy risulta il valore europeo più importante da difendere per l’88% degli intervistati. Proprio a  tutela dei diritti degli utenti, dal prossimo anno, entrerà in vigore il Nuovo Regolamento Europeo sulla protezione dei dati personali (GDPR - General Data Protection Regulation- Regolamento UE 2016/679), predisposto per definire come i dati debbano essere gestiti da aziende ed enti pubblici. Maggiori garanzie per gli utenti, nuovi obblighi per le imprese che dovranno adeguarsi con urgenza per non incorrere in multe salate.

Infografica Internet e privacy - Il Sole 24 Ore
Infografica tratta da Il Sole 24 Ore

La diffidenza verso le grandi corporation che gestiscono i dati è marcata: l’80% degli intervistati sostiene che sarebbe opportuno limitarne il potere per evitare monopoli. Il 70% ritiene inoltre che sarebbe utile che l’Europa investisse maggiormente in fondi di investimento così da realizzare piattaforme open source che riescano a porsi come alternativa ai grandi colossi.

TECNOLOGIE DIGITALI E LAVORO

Solo 1 rispondente su 5 sostiene che le nuove tecnologie potranno migliorare le condizioni di lavoro. Ma gli utenti si attendono i benefici maggiori dalla pubblica amministrazione, così che possa snellire molti dei processi legati ancora oggi a manualità o carta.

Infografica - Internet e lavoro
Infografica tratta da Il Sole 24 Ore

Molta attenzione c'è anche nei confronti delle fake news, notizie create ad arte giusto per raccimolare qualche click. Secondo l'80% dei rispondenti per arginare questa situazione occorre investire sui cittadini, aumentandone il senso critico e le competenze. La regolamentazione nell'ambito dell'informazione, infatti, non è ritenuta la strada più corretta perchè potrebbe essere bollata come censura minando le basi della democrazia e della libertà di parola.