Errori comuni delle PMI: attacco alla supply chain

Caso-studio: piccola agenzia di pubblicità e le insufficienti misure di sicurezza.

A Bill non piacciono le chiamate di prima mattina; non perché sia pigro, ma perché crede che il lavoro può cominciare solo quando si raggiunge un certo equilibrio dopo il caos mattutino di arrivare in ufficio (e comunque solo dopo il secondo caffè). E invece il telefono non smette di suonare.

“Datemi un po’ di respiro! La gente non sa che è maleducazione proseguire dopo il terzo squillo! E se sono occupato a fare qualcosa di importante?” sbraita Bill mentre mette il telefono sotto la scrivania, che nel frattempo continua a squillare.

“Bill, la mia USB va”, piagnucola il layout designer dall’altra parte della cornetta.

“È perché ho disattivato tutte le porte sul tuo dispositivo non so quanto tempo fa! Sai che tutti i file devono essere caricati attraverso un computer sicuro, parla con Albert. Se fosse per me, vi staccherei proprio Internet!”, risponde Bill, che pensa tra sé e sé “e vi staccherei pure quelle manine”.

“Lo so, lo so, ma non parlo solo di me, non si carica su nessun computer! Abbiamo bisogno del tuo aiuto, davvero, è importante. Dobbiamo cambiare velocemente il layout o mi ammazzeranno e Albert tornerà dopo pranzo”.

“Dwight, eravamo d’accordo che tutto deve passare da Albert, tutti i documenti devono passare sul suo computer d perché è l’unico in tutto il dipartimento che ha l’antivirus. E poi, chi è che all’improvviso ti passa file su una chiavetta?”

“È stata Christine, mi ha chiesto di fare delle modifiche urgenti al layout dell’opuscolo, che dobbiamo stampare il prima possibile. Mi ammazzerà se non lo faccio subito e non le importa se Albert è qui o no, sai come è fatta.

“E le vostre chiavette saranno la mia fine. Ok, arrivo subito”.

Bill attacca e guarda pensieroso verso il soffitto. È vero, il loro capo è un osso duro e non gliene può importare di meno delle “formalità”, come la procedura per trasferire file da fonti esterne. L’amministratore di sistema si alza, si stiracchia un po’, prende il portatile e si dirige verso il dipartimento di design.

I proprietari dell’agenzia di pubblicità Magenta Elk si considerano piuttosto in gamba. Dagli inizi come studio di design a conduzione famigliare, ME è cresciuta molto, arrivando a quasi 100 dipendenti. Ora ha un intero dipartimento di design, un direttore creativo che riesce a centrare il segno anche con i clienti più esigenti, un dipartimento di sviluppo Web e persino una piccola tipografia (una piccola attività in piedi già in precedenza e che è stata acquistata tre anni fa). Tra i clienti ci sono grandi aziende internazionali che si affidano all’agenzia per portare avanti le loro campagne pubblicitarie.

Eppure, i proprietari non hanno mai trovato le risorse necessarie per creare un dipartimento IT per lo meno degno di questo nome. Bill gestisce tutti i dispositivi e qualche anno fa, prima di essere assunto, ha riparato i computer come un tuttofare su richiesta. Non è mai riuscito a convincere i proprietari dell’agenzia ad assumere anche solo un’altra persona per dargli una mano.

“Dammi la tua USB”, borbotta Bill mentre apre il computer avvicinandosi. “Perché non riesci a farla funzionare? Sul mio computer funziona perfettamente. Si stanno installando i drive, scansione avviata… si apre, ecco la cartella del progetto”.

Ecco che invece si apre una finestra in rosso dell’antivirus: “Individuato l’oggetto dannoso Trojan.downloader.thirdeye.n” e Bill fissa lo schermo a bocca aperta.

“Dwight, cosa diavolo è questo? Hai provato ad aprire il file su qualche altro computer?”, Bill punta il dito sul file Layout_corrections.docx.exe.

“Beh, altrimenti come avrei potuto fare le correzioni? Ci ho provato ma non ci sono riuscito. Ho cliccato e tutto è rimasto così com’è”.

“Ma non vedi che non si tratta neanche di un documento? Ha l’estensione EXE!”

“Non riesco a vedere l’estensione, posso solo vedere il nome e l’icona. Perché mi stai sgridando? Ho soltanto aperto il file di Christine!”

“Ha senso in effetti. Non viene mostrata l’estensione dei file conosciuti”, farfuglia Bill. “Ok, proviamo a stare calmi. Su quali computer hai provato ad aprire il file?”

“Beh, su quello di Anna Miller, di contabilità. Sul portatile del fotografo e sul computer di Lena, di logistica. Ah, anche su quello di Tom, di sviluppo Web, e poi su quello di Kate… Ma cosa c’è che non va, è un virus? Non è colpa mia! Forse è il computer del fotografo che è infetto!”

“Non è solo un virus, è un Trojan creato su misura! E non solo infetta dispositivi random, è stato messo apposta nella USB!”. Bill si collega all’interfaccia Web del router per isolare i computer coinvolti. “E poi, da dove hai preso la password di Christine? È andata via ieri per lavoro”.

“È scritta su un pezzetto di carta sotto la sua tastiera, lo sanno tutti…”, mormora il layout desginer, ancora sulla difensiva. “Non mi sono portato a casa nulla, l’ho trovata solo ieri!”

“Cosa intendi per ‘trovata’?”, Bill inizia ad alzare la voce.

“Beh, mi ha lasciato la chiavetta alla reception con un post it che diceva di modificare il layout il prima possibile”.

“Ma sei impazzito? Christine ieri è stata qui quasi tutta la giornata. Perché avrebbe dovuto lasciarti una chiavetta con delle istruzioni su un post it? Ti lascia molti post it di questo tipo? Lo sai che preferisce parlare sempre faccia a faccia. E ha appena caricato i file sul server! Cavolo, il server!”. Bill torna a digitare sulla tastiera in tutta fretta. “Nessuno può lasciare nulla in reception. A che ora è successo esattamente?”

“Mah, non saprei. Era di sera e stavo per andar via, e Yvonne mi ha detto che qualcuno aveva lasciato un pacchetto con una USB. Era fuori a prendere qualcosa da mangiare, per cui non sapeva dire chi fosse stato. Sono tornato indietro, ho provato a usare la chiavetta sul portatile di Anna e di Christine… poi il resto lo sai”.

“Dwight, capisci che qualcuno… ” la strigliata viene interrotta da una chiamata sul telefonino. È il CEO dell’agenzia. “Ho un brutto presentimento…”

“Hey, che succede? Perché non sei alla tua scrivania?”, chiede il CEO seccato.

“Mi spiace, il designer ha un problema. Qualcuno ha lasciato una chiavetta…”

“Lascia perdere il designer”, lo interrompe il CEO. “Ho appena ricevuto una chiamata da Österberg & Jones. Il loro sito è pieno di virus da ieri sera e noi siamo gli unici ad avere accesso al sito per l’aggiornamento dei banner. Ho bisogno di prove per dire che non siamo stati noi, do per scontato che non è colpa nostra”.

“Mmm, chi è che vi ha accesso?”, chiede Bill, ormai raggelatosi.

“Non lo so esattamente, un paio di persone del dipartimento di Sviluppo, forse anche Dwight. Di sicuro Christine perché è il suo cliente e sai che adora avere il controllo su tutto”.

“Ehm, è che credo…” la sua voce si interrompe improvvisamente, “credo che sia colpa nostra”.

“Beh, allora siamo fregati, perché hanno minacciato di farci causa. Se è colpa nostra, dobbiamo dare molte spiegazioni. Ho bisogno di un’analisi dettagliata entro fine giornata. E se hai bisogni di chiamare esperti esterni per le indagini, ho bisogno di saperlo immediatamente. Ho bisogno di avere in mano un rapporto onesto e dettagliato quando sarò davanti a Österberg & Jones. Ma fammi comunque un riassunto, cosa diavolo è successo?”

“Sembra che qualcuno abbia voluto deliberatamente colpirci utilizzando una chiavetta infetta. Probabilmente il vero obiettivo era proprio Österberg & Jones. Sai qui qual è il livello di sicurezza, faccio quello che posso ma abbiamo poche attrezzature, poco personale, poco materiale… Non abbiamo manco gli antivirus per tutti…”

“Ok, Ok, ho capito. In modo molto educato mi stai dicendo che sono un idiota. Se sopravviviamo a questa crisi, avrai il tuo staff e antivirus per tutti. Ma ho i miei dubbi sinceramente”.

La lezione

  • La procedura della compagnia per lavorare con file provenienti da fonti esterne è quella giusta. Ma è una procedura che non viene seguita, perché alcuni dipendenti credono che sia più importante portare a termine un certo lavoro. In realtà, la sicurezza è più importante di qualsiasi ordine di un capo;
  • Troppe persone hanno accesso alle risorse dei colleghi, e il problema si aggrava se nessuno sa esattamente chi ha accesso a una determinata risorsa. In un mondo ideale, solo uno o al massimo due persone dovrebbe possedere questa informazione. Inoltre, bisognerebbe inserire le credenziali di accesso a ogni tentativo di login, salvare le credenziali sul browser è una pessima idea se si usa un computer non protetto;
  • Scrivere le password su un pezzo di carta e metterlo sotto la tastiera può sembrare ridicolo, ma avviene in molte aziende. È una pratica assolutamente inaccettabile e, anche quando nessuno da fuori viene in ufficio, ci sono sempre i colleghi a fare danni;
  • È indispensabile installare una soluzione di sicurezza affidabile su tutti i dispositivi dell’azienda, non si accettano eccezioni.
Consigli