Sababa Security ha organizzato un corso di formazione per i dipendenti della Ravnaq Bank in Uzbekistan finalizzato al riconoscimento e contrasto dei tentativi di phishing. Dal 2001 l’istituto bancario, con headquarter a Tashken, fornisce servizi bancari a imprese e consumatori ed è il primo in Uzbekistan a lanciare pagamenti contactless via smartphone.
La formazione di Sababa Security
Tra le principali minacce IT in Europa, il phishing rappresenta un problema anche per le aziende dei Paesi dell’Asia Centrale. Con la crescita della trasformazione digitale, i cybercriminali sfruttano ogni opportunità per insinuarsi nelle reti aziendali, inducendo, ad esempio, gli utenti a condividere le credenziali o altre informazioni sensibili.
Sfide e obiettivi
Secondo il Sababa Awareness Report, sono le emozioni – avidità, curiosità, il desiderio di aiutare – uniti al senso di urgenza o all’autorità del mittente che spingono a commettere errori. Quindi è necessario che le aziende, soprattutto quelle che operano in settori strategici, formino i dipendenti per dotarli di competenze per riconoscere, filtrare e segnalare qualsiasi comunicazione sospetta.
La storia di Ravnaq Bank
Attiva da oltre 20 anni, Ravnaq Bank è una banca moderna ed innovativa, non possiede altre filiali, eccetto la sede di Tashken, poiché tutte le operazioni avvengono virtualmente. È stata tra le prime banche in Uzbekistan ad aver lanciato una app mobile per operazioni bancarie online e e-commerce.
Sababa Security e il phishing
Due anni fa, quando Ravnaq Bank ha rilasciato la sua app, il team IT ha condiviso le responsabilità legate alla cybersecurity con il dipartimento dedicato alla sicurezza fisica della banca. Una volta valutati i rischi legati alla trasformazione digitale, la banca ha riconosciuto l’importanza di sensibilizzare i propri dipendenti in materia di sicurezza.
Il trattamento dei dati
Abdukakhor Tulyaganov, Capo della Sicurezza Ravnaq Bank
Durante una delle attività di assesment interno abbiamo notato svariati problemi non solo tra gli utenti, che utilizzavano password elementari per accedere a computer e smartphone, ma anche tra i dipendenti. Questi infatti avevano una quasi totale mancanza di nozioni di cybersecurity di base e commettevano errori nel trattamento dei dati dei clienti.Ovviamente abbiamo una policy di sicurezza che aggiorniamo ed approviamo mensilmente con il Cybersecurity Center dell’Uzbekistan. Tuttavia, oltre a tenere sotto controllo la situazione con le policy, abbiamo deciso di concentrarci anche sulla formazione dei nostri specialisti.
L’importanza delle simulazioni
Ravnaq Bank ha compreso che la formazione richiede competenze specifiche e tempo. Il team dedicato alla sicurezza ha deciso di unire le forze con il dipartimento IT e il team di formazione convincendo il cda a investire in awareness affidandosi ad un partner esterno. Tra le ragioni che hanno fatto scegliere Sababa Awareness anche la combinazione dei moduli di formazione generici e specifici con simulazioni di attacchi di phishing.
Moduli di formazione generici e specifici
- I moduli generici sono universali e adatti a fornire nozioni base sull’uso corretto di computer e dispositivi mobili e indicazioni su come lavorare online in sicurezza.
- Quelli specifici sono rivolti ai dipendenti di determinati team per sviluppare competenze in materia di cybersecurity all’interno di scenari comuni e attività quotidiane.
- Le simulazioni di attacchi di phishing consentono ai dipendenti di affinare le proprie competenze pratiche acquisite durante la formazione. Nell’ambito del progetto, Ravnaq Bank ha deciso di condurre simulazioni di attacchi di phishing ogni 3 mesi.
- Test della piattaforma
Prima di procedere con il progetto, Ravnaq Bank ha deciso di testare la piattaforma su un piccolo gruppo di utenti e la POC (Proof of Concept) è durata una settimana.
Abdukakhor Tulyaganov
Abbiamo simulato un attacco di phishing per testare la preparazione generale dei colleghi nel reagire ad un attacco informatico. E i risultati hanno superato le nostre aspettative. Solo in pochi hanno compiuto azioni insicure di fronte all’e-mail di prova, la maggior parte ha chiamato immediatamente il supporto tecnico per segnalare la ricezione di messaggi sospetti. Il risultato della simulazione è stato positivo e, di conseguenza, abbiamo deciso di procedere con il progetto.
Sababa Security forma i dipendenti di Ravnaq Bank sul phishing
L’esperienza di Ravnaq Bank dimostra l’importanza di un approccio strategico verso le tecnologie innovative e la loro applicazione dal punto di vista informatico. Investendo nella formazione, le aziende riducono i rischi di sicurezza riconducibili all’errore umano. Inoltre creano anche un ulteriore livello di protezione per il loro business.
Frode e phishing
Abdukakhor Tulyaganov
I tentativi di frode e di phishing stanno crescendo in modo esponenziale. Pertanto, siamo consapevoli della necessità di dover adottare misure complesse per affrontare i rischi cyber. Queste includono il monitoraggio continuo della sicurezza, un piano di risposta agli incidenti e la formazione degli utenti per ridurre al minimo gli errori umani ed aumentare la resilienza complessiva della banca.