Luca Maiocchi, Country Manager di Proofpoint, mette a fuoco le insidie provenienti dalle cosiddette “minacce interne” e le criticità derivanti da omissioni o errori dei dipendenti.
Le minacce interne sono notoriamente difficili da individuare. Se contrastare gli aggressori esterni è già abbastanza impegnativo, difendersi da quelli interni all’azienda è una missione completamente diversa. Una minaccia interna non ha bisogno di aggirare molte difese, può non destare sospetti e spesso passare inosservata. Infatti, ci vogliono in media 77 giorni per individuare e contenere un incidente di sicurezza interno.
Tutte le tipologie di minaccia da parte di insider sono in aumento e l’anno scorso sono costate alle aziende 11,45 milioni di dollari, con un aumento del 31% rispetto al 2018. Le conseguenze di queste minacce possono essere devastanti, ma spesso chi le compie non ha cattive intenzioni nei confronti della propria organizzazione. Quasi due terzi degli incidenti segnalati l’anno scorso sono stati causati dall’imprudenza di dipendenti o collaboratori. In altre parole, a causa di un errore umano. I lavoratori poco prudenti hanno caratteristiche differenti, ma ciò che li accomuna è l’assenza di movente. Per questo è ancora più difficile proteggersi. Come sempre, è meglio prevenire che curare. La chiave è essere proattivi: identificare gli errori comuni, garantire che i dipendenti siano adeguatamente formati e, quando possibile, implementare misure di sicurezza per mitigare l’inevitabile errore umano.
Il costo dei lavoratori imprudenti A chi si trova già all’interno dell’azienda non serve una motivazione dolosa per causare danni gravi. Numerose aziende in tutto il mondo hanno pagato a caro prezzo l’imprudenza del personale. Il phishing rimane un problema enorme per i team di sicurezza. Più della metà delle aziende ha subìto un attacco l’anno scorso, eppure, nonostante una presenza così evidente, solo il 61% della forza lavoro mondiale conosce questo termine. È sufficiente che un solo dipendente apra un link pericoloso per provocare enormi danni finanziari e alla reputazione di un’azienda, come conferma il caso Sony Pictures, che nel 2014, ha speso 35 milioni di dollari per ripristinare i sistemi IT, a seguito di truffe online subìte da alcuni suoi dirigenti. Gli aggressori avevano trafugato proprietà intellettuale e indirizzi email e rubato oltre 100 terabyte di dati.
Il furto delle credenziali privilegiate di un utente, tramite phishing o altre tecniche, può avere un impatto devastante. Una volta compromesse, le credenziali possono essere utilizzate per periodi prolungati per accedere a informazioni sensibili, dirottare fondi, paralizzare le reti e molto altro ancora. Qualunque sia la natura di una minaccia interna, più resta attiva più il conto da pagare sarà salato. Gli incidenti circoscritti entro 30 giorni hanno un costo medio di 7,12 milioni di dollari, quelli che hanno richiesto più di 90 giorni hanno avuto un costo medio di 13,71 milioni di dollari.
Lavoratori innocenti mettono a rischio l’azienda? Tutte le aziende sono a rischio di minacce interne, in particolare da parte di lavoratori imprudenti. Non bastano strumenti e controlli, non si potrà mai neutralizzare l’errore umano. Fa parte di ognuno di noi. Tuttavia, più l’azienda è grande, più il rischio è elevato e gravi le conseguenze.
Il numero di minacce interne aumenta in linea con l’organico, così come l’impatto finanziario. Le aziende con un numero di dipendenti compreso tra 25.000 e 75.000 hanno speso in media 17,92 milioni di dollari nel corso dell’ultimo anno per far fronte a incidenti interni, rispetto ai 6,92 milioni di dollari spesi da chi aveva tra 500 e 1.000 dipendenti. Il principale fattore di rischio per i lavoratori imprudenti è legato al livello di conoscenza e consapevolezza, o alla loro mancanza. Gli utenti, indipendentemente da posizione ricoperta e settore operativo, non sono adeguatamente istruiti sui rischi comuni e su come possano difendere l’azienda, a causa della mancanza di una formazione continua e completa. Il 68% dei dirigenti e del senior management non ha una buona preparazione sulle minacce persistenti e sull’impatto negativo per l’azienda. Peggio ancora, il 60% non si rende conto della preoccupazione costante causata dagli attacchi IT.
Difendersi dall’interno La lotta contro le minacce interne è un processo complesso, soprattutto quando gli “aggressori” non hanno alcuna intenzione di compiere un attacco. Le minacce possono essere difficili da definire e ancora più da individuare. Qualsiasi strategia di difesa deve concentrarsi su tre aree chiave: la tecnologia, i processi e, soprattutto, le persone. Tutte le aziende dovrebbero implementare soluzioni per monitorare l’attività degli utenti, segnalare eventuali richieste insolite e controllare gli accessi al sistema. Utilizzare strumenti e tecnologie per limitare la fruibilità dei dati sensibili e proibirne la copia o l’esportazione. La tecnologia deve essere supportata da processi ben definiti e facili da seguire, includendo la gestione dei dispositivi, l’accesso alla rete e l’utilizzo legittimo e i lavoratori devono essere ben consapevoli delle conseguenze del mancato rispetto di queste policy.
Infine, è importante fornire ai dipendenti le competenze e le conoscenze necessarie a proteggere l’azienda, con attività di formazione continua e completa. Se i dipendenti non eseguono simulazioni di attacco o non partecipano a workshop in aula sulla sicurezza in modo regolare, la formazione sarà probabilmente inadeguata. Se non comprendono il livello di pericolosità di un’imprudenza o non sono consapevoli di essere essi stessi un’importante linea di difesa, un’azienda sarà definitivamente a rischio.
