Startup e sicurezza informatica

17 Apr 2019

Le startup di solito vengono create da persone che hanno un”idea e che vogliono metterla in pratica il prima possibile. Il budget a disposizione solitamente non è molto alto e le spese sono tante: sviluppo del prodotto, promozione e tutto il resto. E quando si tratta di gestire delle priorità, gli imprenditori emergenti spesso trascurano tutte quelle questioni legate alla sicurezza informatica. In questo post vi spiegheremo perché non è una decisione intelligente.

Il pane di tutti i giorni di un hacker è la condanna di una startup

Molte startup provano a risparmiare sulla sicurezza, confidando nel fatto che una piccola azienda con risorse limitate non siano oggetto di interesse dei cybercriminali. La verità è che chiunque può essere una potenziale vittima del cybercrimine; innanzitutto perché molte minacce sono create per colpire ad ampio spettro (ovvero più persone possibile) con la speranza di ottenere un ritorno economico. In secondo luogo, essendo solitamente meno protette, le startup rappresentano un obiettivo molto interessante per i cybercriminali.

E se le grandi aziende a volte hanno bisogno di mesi per riprendersi da un attacco informatico, una piccola azienda semplicemente potrebbe non sopravvivervi. Nel 2014, le azioni dannose dei cybercriminali hanno quasi portato alla chiusura della startup Code Spaces, provider di hosting che offriva tool associati per la gestione di progetti. I cybercriminali sono entrati nelle risorse su cloud dell’azienda e hanno distrutto una buona parte dei dati dei clienti. I proprietari del servizio hanno recuperato quanti più dati possibile ma non sono stati in grado di tornare alla normale operatività.

Certi errori possono essere fatali per la vostra azienda

Per proteggere adeguatamente la vostra startup, dato il budget limitato, potreste pensare di costruire un threat model prima di iniziare, per capire quali rischi potrebbero interessare davvero il vostro business. Vi diamo una mano a evitare gli errori più comuni tra gli imprenditori alle prime armi.

1. Poca conoscenza delle leggi che riguardano l’immagazzinamento e la gestione dei dati personali

Molti governi provano a salvaguardare la sicurezza dei propri cittadini. In Europa abbiamo il GDPR, negli Stati Uniti ci sono leggi diverse a seconda dello stato e del settore. Tutte queste leggi devono essere rispettate, indipendentemente dal fatto che le conosciamo o meno.

Le conseguenze per non seguire questi requisiti legali possono variare, in ogni caso la negligenza può costare caro: una multa e anche bella salata, ad andare bene. Nella peggiore delle ipotesi, potreste essere costretti a sospendere le vostre attività fino a quando non si fa tutto il necessario per tornare a una situazione di legalità da questo punto di vista.

Un altro dettaglio importante: a volte le leggi hanno una copertura più vasta di quanto pensiate. Ad esempio, il GDPR viene applicato a tutte le compagnie che maneggiano i dati dei cittadini europei, anche se le aziende si trovano in Russia o negli Stati Uniti. La migliore politica da adottare è quella di studiare sia le leggi nazionali sia quelle che riguardano i vostri partner e i vostri clienti.

2. Protezione debole delle risorse su cloud

Molte startup si affidano a servizi su cloud pubblici, come Amazon AWS o Google Cloud, ma non tutte adottano impostazioni di sicurezza adeguate su questi spazi di immagazzinamento. In molti casi, i container con i dati dei clienti o con i codici delle app web vengono protetti da password molto deboli e i documenti interni dell’azienda sono disponibili mediante link diretti o visibili sui motori di ricerca. Di conseguenza, chiunque può impossessarsi di dati importanti. A volte, con lo scopo di semplificare le cose, le startup rendono disponibili documenti importanti su Google Doc e li lasciano lì per sempre: semplicemente perché si dimenticano di restringere l’accesso.

3. Poca preparazione nei confronti degli attacchi DDoS

Gli attacchi DDoS sono un metodo efficace per mettere KO una risorsa Internet. Sulla darknet, questi servizi si trovano a prezzi tutto sommato contenuti, sia per la concorrenza, sia per i cybercriminali, che li utilizzano per coprire attacchi più sofisticati.

Nel 2016, il servizio e-wallet di criptomonete Coinkite è stato costretto a chiudere per via di attacchi DDoS continui. Secondo gli sviluppatori, non hanno avuto un momento di pace fin dall’inizio della propria attività. Dopo aver resistito per molti anni, la compagnia ha gettato la spugna e si concentrata sul settore dei wallet hardware.

4. Poca consapevolezza da parte dei dipendenti

In qualsiasi tipo di azienda spesso l’anello debole è il fattore umano. I cybercriminali conoscono molto bene i trucchi di ingegneria sociale e li utilizzano per penetrare nella rete aziendale o per ricavare informazioni riservate.

La mancata consapevolezza dei rischi è doppiamente pericolosa per le aziende che si avvalgono dei servizi di freelance: tenere sotto controllo i dispositivi e le reti utilizzate può essere una vera e propria sfida. Per tutti questi motivi, è molto importante motivare e informare tutti i dipendenti affinché adottino un comportamento dove la sicurezza rappresenti una priorità.

Startup: come rimanere a galla?

Per evitare di esporvi agli attacchi dei cybercriminali e per continuare a svolgere la vostra attività, date l’importanza dovuta alla cybersecurity, fin dal primo momento in cui progettate tutti gli aspetti del vostro business:

  • Cercate di capire quali risorse hanno bisogno di protezione in modo urgente e quali tool di sicurezza si può permettere la vostra azienda in questa fase iniziale. Di fatto, ci sono soluzioni dai costi contenuti;
  • Utilizzate password robuste per proteggere i dispositivi di lavoro e gli account. La nostra soluzione Kaspersky Small Office Security include l’utility Kaspersky Password Manager, che aiuta a creare password robuste e le immagazzina in container cifrati. Non dimenticatevi dell’autenticazione a due fattori, ormai si trova ovunque e funziona;
  • Analizzate attentate le leggi che riguardano l’immagazzinamento dei dati nei paesi in cui avete intenzione di creare un mercato e assicuratevi che il workflow di gestione e immagazzinamento dati della vostra azienda sia compatibile con queste leggi. Se possibile, chiedete la consulenza di avvocati per evitare trappole o cavilli che potrebbero ostacolarvi;
  • Prestate particolare attenzione alla sicurezza di servizi e software di terze parti. Il sistema di sviluppo collaborativo in uso è adeguatamente protetto? Il vostro provider di hosting è sicuro? Nelle librerie open source che utilizzate ci sono vulnerabilità già conosciute? Queste domande dovrebbero preoccuparvi tanto quanto il prodotto finale;
  • Lavorate sodo per informare adeguatamente i dipendenti su questioni di cybersecurity e incoraggiateli ad approfondire autonomamente l’argomento. Se la vostra azienda non dispone di professionisti della cybersecurity (il che può essere normale in una startup), trovate qualcuno che abbia interesse per queste tematiche, può iniziare a informarsi leggendo il nostro blog;
  • Non dimenticate di proteggere adeguatamente la vostra infrastruttura informatica. Abbiamo una soluzione che fa proprio al caso di aziende con budget limitato e che consente di automatizzare la supervisione delle workstation e dei server e anche per rendere sicuri i pagamenti online. Non sono richieste capacità di amministrazione.