FOCUS: SMART WORKING E CYBERSECURITY

L’emergenza sanitaria e l’incremento del lavoro agile. Tra opportunità e rischi.

L’emergenza sanitaria in corso, a causa della pandemia da Covid- 19, ha obbligato le aziende e molti piccoli imprenditori ad adottare la modalità di lavoro da casa, o come tutti abbiamo imparato a dire in modalità “smart working”.

Peraltro è lo stesso governo che nel DPCM dell’11 Marzo 2020 raccomanda il massimo utilizzo di questa modalità di lavoro agile per le attività che possono essere svolte al proprio domicilio o in modalità a distanza. La definizione di smart working (modalità di esecuzione del rapporto di lavoro subordinato caratterizzato da assenza di vincoli orari o spaziali e un’organizzazione per fasi, cicli e obiettivi) è contenuta nella Legge n. 81/2017 e pone l’accento sulla flessibilità organizzativa, sulla volontarietà delle parti che sottoscrivono l’accordo individuale e sull’utilizzo di strumentazioni che consentano di lavorare da remoto( es. pc portatili, tablet, smartphone ecc.).

L’adozione di queste misure è aumentata in modo esponenziale con l’emergenza sanitaria e se da un lato ciò ha comportato la possibilità, seppur con difficoltà in alcuni settori, di mantenere quella business continuity necessaria per la vita di un’azienda, dall’altro ci si è accorti  che la modalità di lavoro agile se effettuata in assenza (quasi) totale di misure di sicurezza adeguate al rischio, si trasforma in un pericolo enorme e quasi come un boomerang si ritorce contro l’azienda stessa potendo provocare danni anche ingenti di natura economica.

Vediamo perché.

E’ bene sottolineare che un modello operativo in smart working non si improvvisa da un giorno all’altro e necessita di uno studio appropriato e una consulenza da parte del team aziendale sia lato legal sia lato IT. Infatti non è sufficiente prevedere un semplice collegamento da remoto alle risorse aziendali, ma occorre adottare un vero e proprio modello di lavoro diverso.

Da tenere conto poi che nel momento storico attuale della pandemia, tale modalità di lavoro non ha interessato solo i dipendenti dell’azienda ma anche i responsabili della sicurezza informatica che si sono ritrovati a gestire da remoto numerosi incidenti di sicurezza, purtroppo aumentati notevolmente in questo periodo.

I criminal hacker infatti non hanno perso tempo e hanno approfittato di questo momento di poca preparazione in questo settore per colpire sempre di più risorse aziendali e gli strumenti utilizzati dai dipendenti soprattutto quando il lavoro svolto dall’abitazione è in modalità BYOD ( Bring Your Own Device), cioè con utilizzo dei device dei dipendenti e non di proprietà dell’azienda.

Nel contesto normativo legato alla protezione dati personali (GDPR) e del D.lgs 231/2001, che prende in esame numerosi reati informatici che hanno fatto ingresso nel 2008, possiamo ben comprendere l’elevato rischio sanzionatorio dell’azienda di fronte ad un attacco informatico, oltre che la ricaduta in termini di danno economico e reputazionale.

QUALI SONO I PROBLEMI LEGATI ALLA SICUREZZA INFORMATICA?

Nello specifico il rischio maggiore è insito nell’allargamento del perimetro della rete all’interno della quale vengono scambiate informazioni, anche sensibili, o comunque dati riservati legati al business aziendale. Questo fenomeno è ancora più esteso a seguito dell’utilizzo di piattaforme in cloud che hanno “smaterializzato” la gestione dei server interni aziendali e delocalizzato il salvataggio di molti dati.

Ancora di più nello smart working il rischio è evidente in quanto non vi è la protezione della rete aziendale, con presenza di firewall e altre difese (basti pensare al dipendente che si collega alla rete wi fi della propria abitazione, utilizzando router facilmente attaccabili dai pirati informatici.)

Il rischio di un approccio improvvisato è enorme:anche sistemi di videoconferenza spesso possono essere facilmente oggetto di attacchi e quindi di perdita di riservatezza e violazione della privacy, qualora vi siano scambi di dati di persone fisiche.

Per non parlare della totale mancanza di preparazione del dipendente che si trova improvvisamente proiettato in una dimensione di lavoro “casalinga”, magari apprezzata in un primo tempo ma che se priva di istruzioni e policy da seguire può essere davvero pericolosa per l’azienda stessa. Pensiamo per esempio al numero di data breach causati da invio di informazioni sensibili a destinatari errati o ancora peggio condivisione in modalità non appropriata di documenti.

Ad oggi la modalità di lavoro agile strutturata e progettata in modo sistematico in Italia è adottata solo da pochissime grandi aziende; per il settore delle PMI (piccole e medie imprese) circa il 65% di queste non ha mai preso in considerazione l’aspetto dello smart working e quindi manca totalmente una infrastruttura tecnico informatica adeguata.

Con l’emergenza  Covid –19 vi è stato un proliferare di aziende in smart working, ma proprio perché totalmente impreparate, questo si è tradotto in un drammatico e esponenziale processo di attacchi di cybercrime soprattutto attraverso fenomeni di phishing e tecniche di social engineering che sono in aumento clamoroso ( + 81,9 %) secondo uno studio recente.

COME DIFENDERSI?

Le aziende che quindi intendono implementare questa modalità di lavoro, non solo limitandola al periodo di emergenza sanitaria, devono assolutamente programmare con il reparto IT o specialista di sicurezza informatica interventi mirati a configurare correttamente il lavoro agile.

Tra gli strumenti adottati vi è per esempio quello del protocollo RDP (Remote Desktop Protocol) ovvero con collegamento da remoto ai server aziendali; tale soluzione però deve essere configurata correttamente altrimenti il sistema è esposto a Internet e quindi agli attacchi dei criminali.

Un’altra soluzione può essere creare una infrastruttura desktop virtualizzata con una gestione centralizzata delle policy e maggiore controllo sulle attività.

La soluzione migliore sarà adottata di concerto con il responsabile della sicurezza informatica, a seconda delle esigenze e ovviamente delle risorse economiche della impresa, ma quello che è certo è che sempre di più occorre investire nel settore della sicurezza informatica, con previsione di tecniche e misure di sicurezza quali ad esempio la crittografia o cifratura.

Non meno importante è l’aspetto della redazione di policy sulla sicurezza informatica nel lavoro agile sulla quale tutti i dipendenti devono essere edotti e formati costantemente.

La cultura e la formazione sulla sicurezza è la prima misura per difendersi, soprattutto in un momento particolare come questo che stiamo vivendo della pandemia. Molti attacchi informatici sfruttano infatti l’emergenza sanitaria per sviluppare nuove tecniche di attacco basate sulla richiesta di informazioni circa il coronavirus.

Fondamentale infine è assicurare la comunicazione costante del dipendente in smart working con il supporto IT, soprattutto nel momento in cui si verifica un incidente di sicurezza.

In conclusione ora più che mai occorre sviluppare una cultura e una sensibilizzazione sulla sicurezza informatica perché essa è strettamente correlata al business aziendale.

 

Avv. Francesca Ariodante