Un’azienda impiega in media dalle 8 alle 10 settimane per correggere una vulnerabilità , un tempo più che sufficiente per i malintenzionati che vogliono ottenere accesso a una rete aziendale. Per i criminali informatici inoltre non è necessario hackerare il sistema aziendale, ma è sufficiente attaccare le persone che gestiscono il sistema.
Questo dato allarmante emerge dall’ultimo audit sulla sicurezza in alcune organizzazioni europee realizzato dai Kaspersky Lab e da Outpost24. Normalmente le vulnerabilità per le quali non è prevista una patch devono essere risolte entro tre mesi ma il 77% delle minacce, un anno dopo essere state scoperte, sono ancora presenti sulle macchine aziendali.
Il team di ricercatori di Kaspersky Lab e Outpost 24 ha raccolto i dati sulle vulnerabilità aziendali a partire dal 2010 individuando i sistemi che sono risultati suscettibili di attacchi negli ultimi tre anni e ha condotto un interessante esperimento per dimostrare quanto sia facile inserire un drive Usb nel computer di un’istituzione governativa o di un’azienda privata. David Jacoby, senior security researcher di Kaspersky Lab, ha chiesto al personale della reception di 11 diverse organizzazioni se potevano aiutarlo a stampare un documento per un appuntamento di lavoro, contenuto su una chiavetta Usb: il campione considerato comprendeva tre alberghi, sei organizzazioni governative e due grandi aziende private. Solo un albergo ha permesso al ricercatore di connettere il proprio drive al computer mentre gli altri due si sono rifiutati. Nessuna delle aziende private ha accettato la richiesta mentre delle sei organizzazioni governative visitate, quattro hanno prestato aiuto, lasciando inserire la chiavetta Usb in un computer dell’istituzione.
Questo per dimostrare come nelle aziende spesso manchino le regole basilari di sicurezza e il personale non sia adeguatamente formato o le policy di sicurezza risultino inadeguate. A volte poi i criminali informatici non devono neppure ricorrere ad attacchi particolarmente sofisticati per entrare nelle reti aziendali, basta che si limitino a utilizzare vulnerabilità già note da tempo, e che non sono state adeguatamente corrette.