Durante i recenti periodi di emergenza qual è stato il ruolo della psicologia nel fomentare le minacce cyber e i danni relativi. Luca Maiocchi, Country Manager Italia, Proofpoint ha analizzato un problema che interessa tutte le aziende.
Le organizzazioni di tutto il mondo sono più esposte che mai al rischio di minacce interne, con un aumento degli incidenti segnalati pari al 47% rispetto all’anno precedente. Queste minacce sono tanto dannose quanto diffuse, tanto che il costo globale causato da questi attacchi è salito a 11,45 milioni di dollari l’anno scorso, rispetto agli 8,75 milioni di dollari del 2018. Per le singole aziende, il costo per evento va da 307.111 dollari per un incidente dovuto alla negligenza a 871.686 dollari per il furto di credenziali.
Con una gran parte della forza lavoro globale chiamata a operare al di fuori dell’ufficio, ora e per il prossimo futuro, queste cifre sono destinate ad aumentare. L’adozione massiccia del remote working e l’aumento della dipendenza da sistemi cloud, insieme alle potenziali difficoltà finanziarie, all’insicurezza legata al posto di lavoro, a condizioni di lavoro non familiari e alla tensione generale di una pandemia globale hanno creato una tempesta cyber perfetta – con oltre un terzo delle organizzazioni che hanno segnalato un aumento delle minacce da parte di insider da marzo (34%).
Psicologia e minacce cyber: adattarsi a un nuovo scenario
Ogni solida difesa informatica deve essere adattabile, e nulla richiede maggiore flessibilità di una pandemia globale. Ma se da un lato l’innalzamento delle difese per far fronte a una maggiore superficie di attacco può essere un concetto familiare, dall’altro si tratta di un reale cambiamento di massa nel comportamento e nella mentalità.
Psicologia e minacce cyber
I dipendenti lavorano al di fuori delle abitudini e delle formalità dell’ambiente d’ufficio – uno scenario a cui molti non sono ancora abituati.
Possono non essere organizzati al meglio, distratti dalle faccende domestiche e dalla vita di casa, e più inclini a commettere errori di base. L’ambiente più rilassato può anche portare a dimenticare o a non considerare adeguatamente le migliori pratiche di sicurezza standard tipiche dellìufficio. Il che vuol dire l’utilizzo di dispositivi personali, o di quelli aziendali per attività private, l’annotazione di password su carta, o log in o log out dai sistemi aziendali non effettuati correttamente.
Poi c’è il pericolo costante del phishing. Con il mondo personale e quello aziendale che si sovrappongono, a casa gli utenti potrebbero essere più inclini a cliccare su un link sospetto. Ed è una cosa di cui criminali informatici sono ben consapevoli.
Dall’inizio della pandemia, abbiamo visto centinaia di attacchi di phishing legati al Covid-19, che invitano le vittime a cliccare sui link, scaricare allegati e condividere credenziali.
Basta un solo dipendente distratto per mettere a repentaglio la sicurezza dell’intera organizzazione.
Oltre a controllare i comportamenti potenzialmente ad alto rischio, i team di sicurezza devono anche tenere conto di nuovi comportamenti che una volta sarebbero passati quasi inosservati, come ad esempio il collegarsi a tarda ora per lavorare in tranquillità, senza bambini attorno. Di colpo, la regolarità dei log è completamente cambiata. Adattarsi a questo cambiamento richiede un occhio attento e una strategia robusta in grado di difendersi dall’interno verso l’esterno.
Psicologia e minacce cyber.
Purtroppo, l’aumento del potenziale di errore non è l’unica opportunità per i cybercriminali. La pressione psicologica causata dall’isolamento può cedere il passo a una minaccia ancor più sinistra: l’insider malintenzionato.
Queste figure sono sicuramente meno comuni, ma possono essere veramente pericolose.
Molti usano la conoscenza interna per eludere le difese e prendono contromisure per nascondere le proprie tracce, diventando molto più difficili da individuare e contenere. In media, un incidente doloso costa 755.760 dollari, più del doppio di una minaccia dovuta alla negligenza.
Il rischio di insider malintenzionati non è una novità. Ma con l’aumento del numero di dipendenti in esubero, a rischio di licenziamento e potenzialmente in difficoltà finanziaria, le aziende devono stare in allerta.
Pandemia, il lato oscuro della psicologia
Anche l’utente meno esperto di tecnologia è probabilmente a conoscenza di ricompense offerte per la fuga di dati sensibili. Il processo decisionale può facilmente diventare confuso.
Lo stesso vale per i dipendenti che hanno motivi di astio contro la propria organizzazione.
Con episodi regolari di violazioni di dati che finiscono in prima pagina, le conseguenze devastanti per le persone coinvolte sono note: punizioni da parte delle autorità di regolamentazione, danni alla reputazione e notevoli perdite finanziarie. Improvvisamente, a un dipendente scontento potrebbe presentarsi un metodo di vendetta apparentemente semplice ed efficace.
Creare una difesa efficace dall’interno
Individuare potenziali minacce interne non è mai facile e farlo al di fuori del classico ambiente d’ufficio, dove c’è meno controllo o pressione per soddisfare gli standard di sicurezza, è ancora più complicato. L’unica difesa efficace è definire una strategia flessibile, robusta e multilivello che combini persone, processi e tecnologia. Le minacce interne sono peculiari perché dispongono già di un accesso legittimo e affidabile ai sistemi e ai dati dell’organizzazione per poter svolgere il loro lavoro – un vettore di attacco così unico richiede una difesa altrettanto dedicata. Anche se non è possibile bloccare l’accesso a chi deve lavorare in rete, è possibile assicurarsi che l’accesso sia strettamente controllato e consentito solo in base alle effettive necessità operative.
Il consiglio è quello di iniziare con l’implementazione di una soluzione completa di gestione degli accessi privilegiati (PAM) per monitorare l’attività della rete, limitare l’accesso ai dati sensibili e vietarne il trasferimento al di fuori dei sistemi aziendali.
Il livello di fiducia tra la tecnologia e il personale dovrebbe essere pari a zero (zero trust). Ci può essere un buon motivo per una richiesta di accesso o per un login fuori orario, ma questo non può essere dato per scontato. I controlli devono essere rigidi, segnalando e analizzando ogni log alla ricerca di segnali di negligenza o di scorrettezza.
Psicologia e minacce cyber
A ciò vanno aggiunti processi chiari e completi che regolino l’accesso al sistema e alla rete, i privilegi degli utenti, le applicazioni non autorizzate, l’archiviazione esterna, la protezione dei dati e altro ancora.
Alla fine, la difesa contro le minacce interne non è solo una questione tecnica. Poiché il maggiore fattore di rischio per gli incidenti insider è il personale, questo deve essere al centro della strategia di difesa.
È fondamentale creare una cultura della sicurezza attraverso una formazione continua sulla consapevolezza delle minacce interne.
All’interno dell’organizzazione, tutti devono sapere come individuare e contenere una potenziale minaccia e come il loro comportamento, intenzionale o meno, può mettere a rischio l’organizzazione .
Questa formazione deve essere approfondita e adattarsi al clima attuale.
Se l’ambiente di lavoro di oggi può sembrare più rilassato, le indicazioni in materia di sicurezza sono ancora valide – forse ora più che mai.
