Mai sottovalutare l’importanza degli aggiornamenti software. Le aziende dovrebbero saperlo meglio dell’utente comune, ma in quattro casi su dieci nelle Pmi europee e statunitensi il “vintage” impera, per la gioia dei cybercriminali. Il dato emerge da una recente indagine di F-Secure, eseguita da Gfk su piccole e medie imprese, da meno di 50 fino a oltre 250 dipendenti, europee (italiane, tedesche, francesi, britanniche, svizzere, svedesi, finlandesi e polacche) e statunitensi.
Quasi tutte brave a parole, molto meno nei fatti. Il 94% degli intervistati, infatti, ha detto di considerare importante il fatto di mantenere sempre aggiornato il software aziendale. E tuttavia quando si tratta di mettere in pratica il principio, la percentuali di chi può dire di utilizzare programmi sempre “up-to-date” crolla al 59%. In sostanza, ci sono più di quattro aziende su dieci che abitualmente impiegano versioni sorpassate di Java, Office, Flash, Adobe Reader (tanto per citare alcuni programmi diffusissimi, e notoriamente bersagliati da criminali che fanno leva sulle loro vulnerabilità) o del browser di navigazione, o di altri applicativi utilizzati per lavorare.
La colpa non è, certo, solo dei manager It. Il 63% degli intervistati ha giustificato le proprie mancanze affermando di non avere risorse sufficienti per mantenere il parco software aggiornato. D’altra parte, se per eseguire certi update bastano pochi click di mouse, il tempo e le complicazioni lievitano in funzione della dimensione dell’azienda: per quelle con meno di 50 dipendenti sono sufficienti, in media, tre ore alle settimana per tenere aggiornati tutti i software in uso; si sale fino a 15 ore settimanali per quelle da più di 250 dipendenti (la media di tutte le organizzazioni dell’indagine è di 11 ore settimanali).
E tutto queste ore spese potrebbero addirittura non bastare. A detta di F-Secure, il tempo che le aziende impiegano per l’update sfiora solo la “punta dell’iceberg” della questione dell’aggiornamento software. “Una convizione comune”, spiega Pekka Usva, vice president corporate security di F-Secure, “è che il problema stia nel sistema operativo: non è così. I sistemi operativi sono ben mantenuti e aggiornati. Il vero problema sta nelle applicazioni di terze parti, sia per uso aziendale sia personale, come Skype, Adobe Reader, browser con vari plugin, e Java, solo per citarne alcuni. Vi siete mai chiesti che cosa è installato sui vostri dispositivi?”.
Lo scenario del rischio It legati ai software non aggiornati, come si evince dalle parole di Usva, è complicato dalla mobilità e dal fenomeno del Bring your own device: quasi la metà delle organizzazioni coinvolte nelle survey tollera che i propri dipendenti usino anche software personale, magari installato su uno smartphone o su un tablet. Le realtà più piccole sono quelle che accettano di più questa tendenza, nel 56% dei casi per le aziende con meno di 50 addetti, mentre la percentuale di tolleranza scende al 39% nelle imprese con oltre 250 dipendenti.
I criminali informatici, nel frattempo, ne approfittano. A fronte delle ore spese ogni settimana dalle aziende per aggiornare i sistemi operativi (senza centrare in pieno l’obiettivo della sicurezza, come si è visto), a loro bastano pochi minuti per creare nuove varianti dei malware. Il risultato è che una quantità fra il 70% e l’80% dei primi dieci tipi di malware rintracciati da F-Secure Labs sono malware che sfruttano le vulnerabilità di software non aggiornati.
Effettuare tutti gli update manualmente, però, richiede tempo. E a detta di F-Secure sarebbe addirittura una “battaglia già persa in partenza” contro i crybercriminali. La proposta del vendor è Software Updater, una funzionalità di aggiornamento automatico che è parte della soluzione F-Secure Protection Service for Business (anche disponibile all’interno di altri prodotti rivolti alle aziende).