Le grandi aziende quotate in Borsa dovrebbero essere capofila nella sicurezza informatica, o almeno questo il buon senso suggerisce. E invece anche tra le Spa della lista “Global 2000” di Forbes non mancano delle vulnerabilità, specie per quanto riguarda le comunicazioni della posta elettronica: non tutte, per esempio, hanno adottato il protocollo Dmarc. Acronimo di Domain-based Message Authentication, Reporting & Conformance, si tratta di un protocollo per l’autenticazione e la verifica dei mittenti, che permette ai legittimi titolari di un dominio di bloccare la circolazione di messaggi che si spacciano per inviati da loro. Tipicamente, truffe di phishing, e non a caso lo sviluppo del Dmarc è stato avviato nel 2012 da PayPal, un nome su cui molti mascalzoni della Rete fanno leva per ottenere dati di pagamento e credenziali di login.
Il Dmarc può arginare il phishing all’origine, consentendo alle aziende di interrompere l’invio delle email che utilizzano il loro dominio di posta elettronica creando falsi mittenti. Se il messaggio ha un certo dominio che non è confermato dalla provenienza IP e dalla firma che lo autentica (firma Dkim), allora può essere bloccato.
Una ricerca di Proofpoint condotta sulle società Global 2000 ha evidenziato parecchie falle e una diffusione disomogenea del protocollo Dmarc nel mondo. E per l’Italia non ci sono buone notizie: nel nostro Paese utilizza il Dmarc appena il 16% delle società incluse nella lista Global 2000. Una percentuale molto lontana dall’86% della virtuosa Danimarca (dove comunque solo il 36% ha già concretamente definito una policy su come bloccare email fraudolente dirette ai propri clienti). Lontana, anche, dal 67% della Finlandia, dal 62% della Svezia, dal 60% dei Paesi Bassi, dal 55% del Regno Unito e dal 52% della Francia. In tutti i Paesi, inoltre, le percentuali di chi ha definito delle policy sul blocco delle email “scippa-dominio” sono molto più basse.
Differenze marcate esistono anche tra i settori di mercato. Su scala internazionale, ha adottato il Dmarc solo il 47% delle aziende di retail incluse nella lista (cioè 96), e fra costoro solo il 9% ha definito una policy di blocco dei messaggi. Ancora più bassa è la percentuale nel settore dei servizi finanziari, 41% (su 514 realtà incluse nella lista), mentre nel campo della sanità e della medicina si sale al 63% (su 30 organizzazioni),
“Il livello di adozione del Dmarc varia da nazione a nazione per una serie di possibili motivi”, commenta Adenike Cosgrove, cybersecurity strategist di Proofpoint. “Innanzitutto, dipende in larga misura dal fatto che il principale Internet Service Provider nazionale abbia adottato il Dmarc oppure no. Se gli Isp locali bloccano attivamente i messaggi di posta elettronica fraudolenti sulla base dei registri Dmarc, allora il livello di protezione dalle truffe email è drasticamente migliore. Questo vale per gli utenti ma anche per le organizzazioni, dato che un enorme beneficio dell’autenticazione delle email è che essa protegge i dipendenti aziendali dai messaggi fraudolenti e dagli attacchi di Business Email Compromise indirizzati ai loro account di lavoro”.
Adenike Cosgrove, cybersecurity strategist di Proofpoint
Ma le disparità fra una nazione e l’altra hanno anche un’altra origine. “Dipendono anche dal livello di consapevolezza dei governi”, spiega Cosgrove, citando i buoni esempi dei Paesi Bassi (i cui enti pubblici dovranno implementare il Dmarc entro la fine del 2019) e del Regno Unito (il cui National Cyber Secuirty Center, l’agenzia governativa di sicurezza informatica, pubblica periodici report sul tema). “Con policy più forti e restrittive sulle organizzazioni nazionali, i tassi di adozione del Dmarc sicuramente aumenterebbero”, conclude Cosgrove. “Le organizzazioni italiane hanno la necessità di adottare i più recenti gateway di posta elettronica, che controllano e rafforzano l’autenticazione delle email”.