Autore: admin

Pericolo Ransomware: nuove frontiere d’attacco

Pericolo Ransomware: nuove frontiere d’attacco

Negli ultimi giorni è stata rilevata una nuova ondata di attacchi Ransomware (potenti virus informatici che rendono inutilizzabili i dati ospitati nei tuoi sistemi) rivolta ai dispositivi aziendali. Oltre alla criptazione dei dati presenti su Server e supporti di backup, la nuova campagna malware ha preso di mira anche le caselle PEC.

Per questo motivo è necessario adottare differenti sistemi di salvataggio e sicurezza, che variano in base alla propria struttura. In questo articolo i dettagli.

Aggiornamento: Italia, oggi il Ransomware viaggia tramite PEC

Nell’ultimo attacco ransomware, creato ad hoc per l’Italia, i cybercriminali stanno diffondendo il malware utilizzando messaggi PEC pericolosi con allegate finte fatture in formato PDF. Questi file, se aperti, sono in grado di infettare il sistema ospite codificando i file della vittima e rendendoli inaccessibili, se non previo pagamento di un riscatto.

Se il computer viene compromesso dal ransomware le vittime potrebbero cercare di riottenere l’accesso ai propri dati pagando il riscatto. Attenzione! Questa operazione non garantisce il ritorno alla normalità. I documenti e i file vengono spesso persi anche pagando la somma di denaro richiesta.

Fonte: BitMAT

email phishing ransomware pec

L’anello debole continuano a essere le email

I ransomware, così come altre forme di malware, sono spesso nascosti all’interno di finti messaggi di posta elettronica. Queste email imitano nell’aspetto e nel contenuto i messaggi provenienti da mittenti noti, come ad esempio quelle dell’Agenzia delle Entrate. Lo scopo è quello di far leva sulla sensibilità della vittima per ricevere informazioni riservate, come il numero della carta di credito o le password di accesso a un determinato servizio o ancora peggio, di rendere inutilizzabili i dati del dispositivo in uso. Già alla fine del 2018 il rapporto Verizon Data Breach Investigations poneva l’accento sulla pericolosità di tali violazioni:

“.. gli attacchi ransomware rimangono tra le più temibili minacce informatiche per le organizzazioni a livello mondiale. Sono di gran lunga il tipo di virus malevolo più diffuso, responsabile del 39% delle violazioni, il doppio rispetto a quanto segnalato lo scorso anno ..” – Fonte ANSA.

Secondo la ricerca il phishing (e-mail che camuffano il mittente come un mittente conosciuto) rappresenta il 98% degli attacchi messi a segno per estorcere denaro e il 93% di tutte le violazioni su cui il report ha indagato.

Caselle PEC utilizzate come mezzo d’attacco

Le caselle PEC, utilizzate per comunicazioni sensibili e spesso riservate, vengono considerate l’unica soluzione informatica accettata per la corrispondenza dalla PA e dagli enti governativi. Tale prerogativa fa sì che gli utenti si sentano più tranquilli nel considerare attendibili questi messaggi, portandoli a eseguire senza preoccupazioni i file allegati.

Il testo dei messaggi fraudolenti via PEC, è solitamente di questo genere:

“OGGETTO: Emissione fattura SS059656

Buongiorno Allegata alla presente email Vi trasmettiamo copia PDF di cortesia della fattura in oggetto. Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate”.

Il file PDF, una volta aperto, infetta il sistema del malcapitato.

Sicurezza: l’anello debole? L’incoscienza del contesto

Le aziende non considerano che l’anello debole della catena potrebbe essere proprio l’utente. Nell’era digitale, con un’esposizione crescente a tali minacce, le difese aziendali non possono fare leva solo sulla tecnologia. È necessario sensibilizzare e motivare il personale per proteggere cosa è più a rischio e rafforzare la propria linea di difesa “umana”.

Adottare misure preventive di sicurezza

Proteggere la propria casella di posta significa in primo luogo analizzare con attenzione il testo del messaggio, verificare il mittente e i file allegati. Tra le misure preventive è consigliato non aprire alcun tipo di allegato quando il mittente è sconosciuto e chiedere sempre conferma diretta di quanto ricevuto. Di seguito le principali operazioni utili per prevenire la perdita dei dati:

  • adottare soluzioni antimalware per proteggere la casella di posta, che integrino un motore antispam;
  • cambiare le password dei propri account di frequente, creandone di complesse e abilitando dove possibile l’autenticazione a due fattori;
  • non utilizzare la stessa password per più servizi;
  • provvedere al backup del sistema su differenti supporti, dei documenti e dei file;
  • mantenere aggiornati il sistema operativo e le soluzioni di sicurezza installate.

Associare software professionali alle misure preventive

Per non farsi sorprendere dagli attacchi malevoli consigliamo inoltre di installare soluzioni per la sicurezza dei dati e di cybersecurity, in grado di bloccare le potenziali minacce. Per evitare rischi e non incorrere pericoli è importante aggiornare le soluzioni di sicurezza e controllare di frequente le copie di backup dei propri file.

Fonti: BitMATEset ItaliaVerizon

Certificato SSL: proteggi il tuo sito web e la tua immagine

Certificato SSL: proteggi il tuo sito web e la tua immagine

Un lucchetto verde appare a fianco dell’indirizzo web del tuo sito web. Il certificato SSL rende possibile questa nuova funzione, ed è stato installato per questi motivi: proteggere i dati e il lettore. Incuriosito? In questo post ti spiego cos’è l’HTTPS e perché dovresti adottarlo sul tuo sito.

Certificato SSL

Prima però ti do qualche informazione in più. Ad esempio, perché ti parlo di SSL e di HTTPS? Il motivo è semplice: qualcosa è cambiato. Google Chrome, dal gennaio 2017 ha iniziato a segnalare come non sicuri alcuni siti web che non hanno il certificato SSL e che non utilizzano il protocollo HTTPS.

Determinati siti senza certificato potrebbero avere delle percussioni nel posizionamento. E l’esperienza utente verrebbe minata profondamente, soprattutto su quei domini dove si svolgono acquisti e prenotazioni. Con l’avviso di Chrome le persone potrebbero non visitare più l’indirizzo.

Questa però è solo la punta dell’iceberg, la storia parte da lontano e ci sono diversi aspetti da considerare. La sicurezza è una priorità assoluta per Google. Ma lo è per chiunque operi in rete, a tutti i livelli. Sia per le aziende che investono nella presenza sul web sia per i visitatori che vogliono affidare in mani sicure i loro dati. Allora, approfondiamo insieme l’argomento?

Cos’è e a cosa serve l’HTTPS

Faccio un passo indietro. Cos’è l’HTTPS? Definizioni tecniche a parte, è una risposta concreta ed efficace alla richiesta di sicurezza degli utenti che navigano il web. Crittografare il contenuto del sito consente di proteggere le informazioni e i dati delle persone. Prendo come fonte Google:

HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l’esplorazione di un sito web avvenga in modo sicuro e riservato. Ti incoraggiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito. 

Con il certificato SSL i dati scambiati con il sito vengono criptati e protetti dalle intercettazioni. Cosa significa? Vuol dire che nessuno può tenere traccia delle attività svolte sulle pagine o rubare le informazioni. Ecco a cosa serve il certificato SSL sul tuo dominio: a preservare gli utenti.

Il certificato SSL è indispensabile?

Ci sono casi in cui il certificato SSL è fondamentale. Un’azienda che vende online i suoi prodotti e servizi non può accettare che i clienti inseriscano i dati in un sito non sicuro. Così come un’agenzia di noleggio con conducente di auto di lusso non può chiedere al pubblico di aggiungere informazioni per una prenotazione in un modulo che potrebbe avere dei problemi.

Certificato SSLLa mia azienda non ha un e-commerce (almeno per ora) ma possiede un modulo di richiesta per un ebook gratuito. Come altri siti, il form di contatto è un elemento necessario per ottenere delle conversioni. Per questo voglio dare al potenziale cliente tutte le sicurezze. Il certificato SSL è stata una scelta allineata con gli obiettivi: dare la migliore esperienza possibile. Ricapitolando, ecco alcuni esempi di siti che non possono assolutamente fare a meno dell’HTTPS:

  • E-commerce e portali di commercio elettronico.
  • Progetti che prevedono la registrazione in un’area riservata.
  • Siti che hanno modulo di contatto avanzato e di prenotazione.

SEO e HTTPS: serve veramente?

Uno degli aspetti più importanti per chi vuole l’HTTPS è il vantaggio sui motori di ricerca. Il certificato SSL, infatti, può essere un elemento dell’ottimizzazione SEO. La notizia è stata data da Google qualche tempo fa e segue quella che è una delle battaglie di Mountain View: garantire un web sicuro.

HTTPS Everywhere, ecco è la parola d’ordine. Questo vantaggio nella serp non riguarda tutti i siti ma solo quelli che richiedono dati sensibili. Per esempio password d’accesso e numeri di carta di credito. Quindi il certificato SSL può dare una spinta in termini SEO per i siti che hanno bisogno di sicurezza.

Molti vedono questo passaggio come un’imposizione, una forzatura. D’altro canto il comportamento di Google è lineare: deve fornire il miglior risultato possibile, di conseguenza questo aspetto può essere compreso nei fattori che influenzano il posizionamento. Non ha senso consigliare risultati che mettono in pericolo il pubblico, non è questo l’obiettivo ultimo di Mountain View.

Il certificato SSL su Chrome

Per completare l’opera c’è la politica di Chrome che con la nuova versione bolla come non sicuri i siti web che, secondo il suo giudizio, dovrebbero avere l’HTTPS. L’esperienza utente viene segnata: tu navigheresti su un dominio del genere? E inseriresti il numero della carta di credito?

Il certificato SSL su Chrome

L’etichetta Non Sicuro su Chrome.

Il browser di Google avverte l’utente sulla pericolosità di visitare un sito web in HTTP. Anzi, per la precisione il problema si trova nella comunicazione dei dati come password e numeri di carte di credito. Perché la connessione non è cifrata, non c’è alcun protocollo a vigilare sulla sicurezza. Devi implementare l’HTTPS sul sito web perché ce lo dice Google? No, perché è utile per i lettori.

Esiste un certificato SSL gratis?

Questo è uno dei passaggi essenziali: esiste un certificato SSL gratuito, magari a basso costo ed economico? In realtà, come vedrai tra poco, ci sono diversi servizi per implementare l’HTTP, ma se vuoi qualcosa di gratuito, a costo zero, puoi usare Let’s Encrypt.

Questo progetto permette a tutti di applicare una protezione senza spese. Conviene? Molti provider lo forniscono in automatico, è comunque una buona protezione. Ma se lavori con un e-commerce e hai in mano i dati dei tuoi clienti ti consiglio di investire una cifra adeguata alle tue necessità.

Come ottenere il certificato SSL

Ti ho convinto, vuoi aggiungere un certificato SSL sul tuo sito. Come ottenerlo? Molto semplice, devi rivolgerti al provider, il fornitore di servizi web, e acquistare la soluzione che preferisci. O meglio, quella che fa al caso tuo. Perché questo è il punto: non c’è un unico certificato, tutto dipende dal tipo di protezione che ti serve. Qualche esempio:

  • RapidSSL.
  • Thawte Web Server.
  • RapidSSL Wildcard.
  • True BusinessID with EV.
  • Thawte Wildcard.

Questi modelli vanno dal più semplice ed economico al più sicuro e costoso. Nel momento in cui hai completato l’acquisto puoi abbinare il certificato al dominio e hai la protezione che ti serve. A questo punto, però, c’è un problema da risolvere: devi fare un redirect che punti sulla nuova versione del sito.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.iltuosito.com/$1 [R,L]
</IfModule>

Cioè devi passare da HTTP a HTTPS. In questo caso puoi agire sul file .htaccess e inserire questa stringa (prima ricorda di cambiare l’indirizzo del sito nelle impostazioni generali del blog) o sfruttare uno dei tanti plugin WordPress che ti consentono di gestire la migrazione. Qualche consiglio? In primo luogo usa questo tool (ssllabs.com/ssltest) per scoprire se funziona il protocollo SSL.

Risorse utili per implementare l’HTTPS

Come puoi ben immaginare, non è sempre facile passare da HTTP a HTTPS. Spesso i provider sono ben disposti nei confronti degli utenti e aiutano a svolgere le operazioni più complesse. Ma su progetti molto importanti, magari su siti web con molte pagine, conviene lavorare con un SEO e un bravo webmaster al proprio fianco. Senza dimenticare che ci sono diverse risorse da sfruttare.

Plugin WordPress

Quali sono i migliori plugin WordPress per gestire il passaggio da HTTP a HTTPS? Easy HTTPS Redirection è perfetto per passare gli indirizzi da una versione all’altra, mentre SSL Insecure Content Fixer ha un’utilità che puoi toccare con mano quando non tutto riesce alla perfezione. Questa estensione, infatti, consente di individuare i contenuti che portano ancora l’HTTP.

URL Canonical

Come mi comporto con le pagine canoniche che regolano i contenuti che hanno più URL? La risposta arriva da Mountain View: in questo caso Google preferisce le pagine HTTPS alle pagine HTTP equivalenti. Per risolvere i problemi relativi a questo passaggio conviene seguire le istruzioni che trovi nella guida ufficiale. Sempre in compagnia di un webmaster esperto.

Google Search Console

Se esegui la migrazione da HTTP a HTTPS, Google considera l’operazione uno spostamento del sito con modifiche agli URL. Ciò può influire sulle cifre relative al traffico. Per ulteriori informazioni, consulta la pagina con una panoramica sullo spostamento di un sito.

Ancora un dettaglio: aggiungi la proprietà HTTPS a Search Console. Quest’ultima gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, se hai pagine cheadottano entrambi i protocolli, devi indicare una proprietà Search Console distinta.

Google Analytics

Se vuoi ricominciare la raccolta delle statistiche dal momento in cui passi all’HTTPS puoi verificare una nuova proprietà di Google Analytics, generare un codice di incorporamento differente e cancellare il vecchio dal sito (Google stesso sconsiglia di tenerne due).

Se invece vuoi tenere lo stesso codice e raccogliere le statistiche senza perdere le vecchie devi aggiornare l’URL nelle impostazioni proprietà – amministrazione > proprietà > impostazioni proprietà – e nelle impostazioni vista – amministrazione > sezione vista > impostazioni vista.

Perché non compare il lucchetto verde

Ho il mio protocollo SSL ma manca l’etichetta verde. Quando fai il passaggio qualcosa può andare storto. Il concetto è questo: devi evitare di incorrere in errori comuni durante la procedura di protezione del tuo sito con TLS, stai attento a non commettere gli sbagli che trovi in questa lista.

  • Certificati scaduti. Assicurati che il tuo certificato sia sempre aggiornato.
  • Problemi di scansione. Non impedire la scansione del tuo sito HTTPS utilizzando il file robots.txt.
  • Problemi di indicizzazione. Consenti l’indicizzazione delle pagine da parte dei motori di ricerca.
  • Elementi di sicurezza misti. Incorpora soltanto contenuti HTTPS nelle pagine HTTPS.

Ultimo punto, attenzione al nome del sito web. Verifica di avere registrato il certificato per il nome host corretto. Ad esempio, se acquisti il certificato per www.example.com e il tuo sito web è configurato per utilizzare example.com, riceverai un errore di corrispondenza del nome del certificato.

Ti piace quel protocollo che consente di attivare l’HTTPS e di inserire il nome dell’azienda in verde nel browser? Si tratta del certificato True BusinessID with EV, una realtà con un costo superiore ma con un riflesso decisivo sul brand. Pensa solo che le principali banche usano questa soluzione.

Certificato SSL: la tua esperienza

La presenza del certificato SSL incomincia a farsi notare sul web, non solo su e-commerce e portali ma anche sui blog. Google sta forzando la mano definendo “non sicuri” i siti che non adottano il protocollo HTTPS. Ma molto dipende dalla consapevolezza di chi crea, gestisce e cura i siti.

Questo impone una riflessione ulteriore sulle soluzioni che possono essere adottate per rendere il web più sicuro. Ora tocca a te. Mi interessa la tua opinione. Hai già adottato il certificato SSL sul tuo sito? Quali sono le ragioni che ti spingono a non farlo? Reputi eccessiva l’implementazione dell’HTTPS sui siti vetrina? Lasciami la tua opinione nei commenti.

Cos’è la Digital transformation e perché è importante per le imprese?

Cos’è la Digital transformation e perché è importante per le imprese?

La digital transformation sta cambiando il volto della realtà aziendale. Ha modificato gli aspetti strutturali delle organizzazioni complesse, le logiche di funzionamento delle imprese e i modelli di business.

La tecnologia, allo stesso tempo, ha mutato gli aspetti operativi, strategici e di governance, inducendo un netto cambiamento nelle logiche competitive del mercato. Ma qual’è il significato di Digital transformation e quali sono le tecnologie utili al suo supporto?

Digital Transformation in azienda

Cos’è la Digital transformation

Dalla definizione di Network Digital 360, il processo di Digital transformation fa riferimento all’opportunità di ridisegnare e migliorare i processi che governano il business, utilizzando una combinazione di diverse soluzioni tecnologiche.

Non è semplice capire cosa sia una Trasformazione digitale. Ogni impresa la interpreta un pò a suo modo. Alcune aziende la definiscono una strategia chiara con punti di arrivo a breve, medio e lungo termine, investono risorse e competenze, fanno un disegno organizzativo rivoluzionario.

Le conseguenze? Per le persone che lavorano all’interno delle organizzazioni i risultati sono molteplici. La digital transformation comporta la necessità di imparare nuove abilità, cambiare attitudini o addirittura la cultura aziendale.

L’infrastruttura ICT alla base della trasformazione digitale

Pressochè inutile idealizzare ed investire in soluzioni digital, se non si dispone di risorse informatiche e di telecomunicazione di eccellenza. Questo consente di unire i dati provenienti da sistemi diversi per consentirne l’analisi e il flusso di informazione in tutta l’impresa.

Se si vuole restare sul mercato, evolvere, crescere, si deve guardare tutto con occhi nuovi e mente aperta. Si deve essere pronti a rimettersi in gioco con nuove regole. Non si deve cercare di fare tutto da soli ma valutare con attenzione chi sia all’altezza di sfide importanti.

Come utilizzare le tecnologie digitali per ottimizzare il proprio business

La normativa italiana consente di sfruttare le tecnologie ICT a supporto delle relazioni tra clienti e fornitori. Oggi documenti come ordini, conferme d’ordine, avvisi di consegna, DDT e fatture possono essere emessi, trasmessi e conservati in modalità del tutto elettronica. In seguito quattro esempi di processi e soluzioni digitali.

1. Dematerializzazione dei documenti

Con il termine “dematerializzazione” si fa riferimento alla procedura in grado di sostituire i documenti cartacei con i documenti digitali. Nella maggior parte dei casi il processo si conclude con la conservazione digitale.

Per raggiungere l’obbiettivo di dematerializzazione le imprese possono sfruttare il software di gestione documentale ARXivar.

Gestione documentale: cos’è?

Un sistema di gestione documentale (Document & Process Management) è un sistema che converte i documenti interni (come email, fatture, contratti, DDT) in risorse digitali. Può essere impiegato in qualunque ambito aziendale. Grazie a un sistema di questo tipo, è possibile gestire, organizzare, condividere e archiviare i documenti in azienda, in modo che siano sempre reperibili da ogni dispositivo.

2. Posta Elettronica Certificata (PEC)

Dal 1° Luglio 2017 i documenti relativi ai contribuenti devono essere inoltrati via PEC (D.L. n. 193/2016). Il Legislatore suggerisce di archiviare e conservare a norma la PEC, in osservanza degli articoli del Codice Civile.

conservazione sostitutiva pec

IX-PEC è la soluzione in Cloud per gestire le email PEC, maggiori approfondimenti al seguente articolo: “Come fare la conservazione sostitutiva delle email PEC“.

3. Firma digitale e marcatura temporale

Per procedere al processo di conservazione a norma di qualsiasi documento informatico, si devono rispettare le regole dettate dal DPCM del 2013:

  1. applicare la firma digitale al documento informatico: la firma digitale garantisce l’integrità del documento. E’ un file di testo che contiene nome, cognome, codice fiscale e data di nascita della persona fisica.
  2. applicare la marca temporale. Riferimento temporale con data certa opponibile a terzi.

Quali sono gli strumenti che consentono la conservazione a norma dei documenti? IX.CE è il servizio, in Cloud, che si occupa per conto dell’azienda di tutte le fasi del processo di conservazione elettronica a norma. Garantisce:

  • autenticità;
  • integrità;
  • affidabilità;
  • leggibilità;
  • reperibilità.

ai documenti informatici, dalla presa in carico allo scarto (DPCM 3 Dicembre 2013). Per maggiori approfondimenti leggi l’articolo: “Come conferire valore legale ai documenti informatici nel tempo“.

conservazione sostitutiva dei documenti informatici servizio IX

4. Fatturazione elettronica

La fattura elettronica, entrata in vigore dal 1 Gennaio 2019, è diventata un obbligo per gli scambi commerciali B2B o B2C. La fatturazione in via elettronica comporta l’obbligo da parte delle aziende e dei professionisti di utilizzare documenti elettronici e non più cartacei. Tali documenti devono essere inviati all’Agenzia delle Entrate, che può quindi avere un maggiore controllo sui movimenti all’interno del territorio italiano.

Il software di gestione documentale ARXivar, integra in un’unica piattaforma le funzioni di:

  • archiviazione;
  • conservazione a norma;
  • gestione dei processi aziendali.

Permette di gestire ogni fase della fattura elettronica, integrandosi con i servizi in outsourcing IX-FE (invio e ricezione), IX-CE (conservazione) e interagendo con lo SdI. Per maggiori approfondimenti sulle soluzioni, leggi l’articolo “Gestire la fattura elettronica PA e tra privati (B2B – B2C)“.

Questi quattro argomenti e la loro armonizzazione d’uso rappresentano una grande sfida per creare efficienza. Oltre a ciò, le aziende devono affrontare la costruzione di relazioni personalizzate e di valore con i propri Clienti e la gestione efficiente e sicura delle informazioni e delle comunicazioni, elementi essenziali di un processo di Digital transformation.

I vantaggi di un processo di Digital transformation in azienda

Secondo uno studio condotto dall’istituto di ricerca IDC e promosso da SAP (società specializzata in soluzioni informatiche), le imprese che intraprendono un percorso di innovazione digitale, risconterebbero importanti benefici:

  • nelle vendite, attraverso la costruzione di relazioni solide tra Azienda e Cliente;
  • nella produttività dei dipendenti: le nuove tecnologie che si basano su Cloud, mettono a disposizione degli utenti strumenti sicuri e affidabili, facendoli diventare parte di una squadra in tempo reale nella condivisione e nella gestione dei file;
  • nell’accesso alle informazioni: i processi diventano così più veloci e più efficienti. Si pensi ad esempio al processo di approvazione con firma digitale o di reale condivisione di un’attività all’interno del proprio team di lavoro;
  • a livello di sicurezza dei dati: attraverso soluzioni come il backup e il ripristino, i dati sono protetti a livello globale.

Come affrontare la Digital transformation in azienda. Le conclusioni

La Digital Transformation è uno dei temi più attuali per i Manager delle aziende. In questo post ho definito cos’è un processo di trasformazione digitale e gli strumenti che possono aiutare le imprese ad affrontare questa innovazione tecnologica. Ora tocca a te. Hai già pensato a come affrontare questo passaggio nella tua azienda?