Worm e trojan sono sempre dietro l’angolo. Sempre pronti a infettare i computer arrecando danni. Basta davvero poco per ritrovarsi a fare i conti con uno di questi (gravi) problemi. Le contromisure, fortunatamente, non mancano. Molte delle quali passano, semplicemente, per la corretta formazione delle persone che lavorano.
La sicurezza informatica aziendale e nelle pubbliche amministrazioni si esplica in tutta una serie di attività. Una di queste riguarda uno strumento di lavoro che viene utilizzando ogni giorno da praticamente qualsiasi lavoratore: la mail/PEC. E per garantire la sicurezza di tale strumento, ci sono delle utilissime indicazioni a disposizione di tutti.
Temi:
- Cos’è e come funziona la PEC
- Le indicazioni per le risorse
- Le indicazioni CERT-PA
- Firma digitale e PEC
Cos’è e come funziona la PEC
Innanzitutto: cos’è e come funziona una PEC? Ecco i punti salienti di questo strumento:
- Un messaggio di PEC attesta l’identità del mittente, l’integrità del messaggio e la data di invio/ricezione;
- La PEC rappresenta una prova legale dell’avvenuto invio/ricezione del messaggio;
- Una casella di posta elettronica certificata può essere attivata unicamente rivolgendosi ai gestori autorizzati AgID: l’elenco è disponibile alla pagina gov.it/it/piattaforme/posta-elettronica-certificata/elenco-gestori-pec.
Le indicazioni per le risorse
Un personale adeguatamente formato è una garanzia per qualsiasi attività lavorativa e per qualsiasi pubblica amministrazione. La sicurezza di PEC e mail non fa certamente eccezione. Internamente, andrebbero comunicate delle semplici best practice da seguire per evitare che “ospiti indesiderati” arrivino tramite mail.
1. Non memorizzare le credenziali
Per comodità, capita di memorizzare, nel programma utilizzato per leggere le mail o nel browser, le credenziali di accesso alla mail. Una comodità che andrebbe evitata, perché permette a chiunque si sieda davanti a quel determinato PC di avere libero accesso alla mail in questione.
2. Fare attenzione all’URL
Il mail phishing è una delle più diffuse pratiche malevoli via mail. In pratica, si riceve una mail con un link e una richiesta di cliccarci sopra. Il messaggio di accompagnamento, di solito, è accattivante, incuriosisce, spesso sembra scritto apposta per chi legge. Niente di più sbagliato e pericoloso: se l’URL è “strano” o non ha il certificato https, non cliccare. Mai.
3. Non aprire allegati dubbi
Altra cosa che capita spessissimo. Se arriva una mail che chiede di scaricare/aprire un allegato, verificare prima il mittente, così da essere sicuri che il file non possa essere potenzialmente malevolo. Se non è possibile verificare il mittente della mail, mai scaricare né aprire i file in allegato, a maggior ragione quanto viene chiesto direttamente nel testo del messaggio.
4. Mai dare le proprie informazioni personali
Se una mail chiede di inserire le informazioni personali della risorsa, è per definizione una mail sospetta. La comunicazione delle informazioni personali è sempre condotta secondo precisi iter e rigorosamente su piattaforme la cui sicurezza è verificata.
5. Evitare le proposte troppo allettanti o allarmanti
I messaggi che assicurano facili guadagni sono sospetti per definizione. Lo stesso dicasi per pacchi in giacenza, offerte troppo belle per essere vere e fatture pagate/da pagare. Evitare anche i messaggi ansiogeni, come quelli che allertano sulla presunta presenza di virus sul computer.
Le indicazioni CERT-PA
Il CERT-PA (Computer emergency response team pubblica amministrazione) è interno all’AgID; opera per garantire la sicurezza informatica e intervenire tempestivamente in caso di problemi o malfunzionamenti. Nel novembre 2019, soprattutto in seguito alla campagna contro il malware FTCODE, ha stilato una guida in cinque punti con le azioni da attuare per prevenire gli attacchi informatici tramite mail e PEC.
FTCODE invia mail con unico link e del testo ripreso da una precedente conversazione avvenuta tra il destinatario e il mittente, quindi risulta credibile. Il link porta a un file .zip che contiene il virus vero e proprio. Questo è un ottimo esempio di quanto possano essere convincenti tali sistemi.
6. Disattivare le macro
Le macro sono piccole applicazioni all’interno dei vari programmi del pacchetto Office. In una macro può nascondersi un programma malevolo. Un utente poco attento può inavvertitamente accettare l’esecuzione di una macro. Quindi, sempre meglio disattivare direttamente la funzione.
7. Disattivare JavaScript
Si tratta di un linguaggio di programmazione molto diffuso ed è supportato da tutti i browser. Con JavaScript si fanno eseguire delle funzioni agli utenti che navigano una determinata pagina, funzioni che includono il download di un programma malevolo. Solitamente, si riceve via mail/PEC un messaggio che invita a cliccare su un link e che porta verso un sito predisposto a eseguire il programma malevolo.
8. Disattivare VBScript
Il Visual Basic Scripting è un linguaggio di scripting in ambiente Windows molto versatile. Proprio questa sua versatilità lo ha presto reso molto utilizzato da coloro che creano e diffondono virus.
9. Disattivare PowerShell
PowerShell è un interprete di comandi in ambiente Windows che, in maniera del tutto automatizzata, può eseguire operazioni. Molti virus, per agire sulla macchina infettata, sfruttano script eseguiti tramite PowerShell.
10. Disattivare Windows Script Host
La disattivazione di questo linguaggio di scripting in ambiente Windows blocca automaticamente anche l’esecuzione di tutti i programmi e le funzioni realizzati in VBScript.
Firma digitale e PEC
Infine, una precisazione che sarà sicuramente utile, visto che, ancora oggi, molte persone fanno confusione tra questi due strumenti (anche perché sono spesso utilizzati insieme in ambito lavorativo).
- La posta elettronica certificata può essere considerata come l’equivalente di una raccomandata con ricevuta di ritorno;
- La firma digitale ha lo stesso valore di una firma autografa e si appone a documenti digitali i quali possono essere allegati a un messaggio di PEC.
Approfondimento: Firma digitale e posta elettronica certificata: la differenza e i differenti utilizzi