Il pericolo maggiore per la sicurezza è ancora l’errore umano
Diversi studi, tra cui il Rapporto Italian Cyber Security Report 2014, evidenziano tra le principali cause di vulnerabilità agli attacchi informatici la scarsa consapevolezza degli utenti rispetto alle minacce e i comportamenti errati messi in atto.
Uno studio del 2018 dell’Osservatorio Information Security & Privacy del Politecnico di Milano, su un campione di 667 organizzazioni italiane, ha rilevato tra le principali vulnerabilità proprio la distrazione e la scarsa consapevolezza dei dipendenti (82% dei casi), un’architettura IT obsoleta (41%) e aggiornamenti non effettuati regolarmente (39%).
Un sistema informatico, anche se meticolosamente protetto, può non essere più affidabile di fronte a un’azione errata dell’operatore. Questo il motivo per cui le aziende oltre a investire e adottare un sistema di protezione informatica valido devono investire nella formazione degli impiegati sulle buone abitudini da adottare per non farsi truffare.
Ci sono naturalmente delle strategie che possono essere attuate per intervenire su questi aspetti. La formazione e la diffusione di una cultura in materia di sicurezza informatica sono dei passi importanti, ma anche la scelta e l’approccio alle soluzioni tecnologiche è un fattore da non sottovalutare.
Se è vero che nessuna tecnologia è invulnerabile e tutta può essere attaccata, è anche vero che l’adozione di strumenti corretti facilita molto la difesa. E quello che spesso si dimentica è che prevenire costa molto meno che intervenire quando gli incidenti informatici sono già avvenuti.
La Posta Elettronica e il Phishing
La posta elettronica rimane prima in classifica come principale vettore di attacco. L’attacco via mail è molto più semplice e crea dei danni più elevati rispetto agli attacchi via malware.
Si conta che nei primi tre mesi del 2018 la perdita finanziaria globale causata dalle frodi via mail, ammonti a 12,5 miliardi di dollari, oltre il 90% delle aziende è stato colpito con incremento del 103% anno per anno.
L’attività di Phishing, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale, è una delle truffe on line più in voga.
Le stesse Pubbliche Amministrazioni, nonostante stiano investendo in soluzioni tecnologiche per la salvaguardia della sicurezza delle informazioni, sono le più colpite dal fenomeno di Phishing che sfrutta come anello debole il dipendente.
I furti di identità, soprattutto via mail, sono in costante aumento. Nella maggior parte dei casi, vengono clonate le credenziali, magari per ingannare collaboratori commerciali e spingerli a concludere azioni finanziarie in realtà destinate al criminale. Il famoso man in the middle.
Tipi di errore umano
Per “errore umano” si indicano azioni involontarie o accidentali. È la principale causa di violazioni dei dati e della sicurezza. I tipi più comuni di violazione si verificano a seguito dell’invio di dati alla persona sbagliata.
Ci sono 3 tipi di errore umano. Capire le differenze e come possono avvenire può essere un aiuto per prevenire la compromissione o la perdita dei dati del sistema.
- Mancanza di Capacità nell’uso degli applicativi forniti
- Mancanza di Conoscenza nel caso accadano situazioni impreviste
- Mancanza di Regolamentazione sulle procedure da seguire
La crescente cultura del BYOD (Bring Your Own Device) svela maggiori preoccupazioni, soprattutto con il rischio di smarrimento o furto di dispositivi mobili. La tecnologia è disponibile per aiutare le aziende a controllare cosa succede ai dati archiviati su tali dispositivi, anche consentendo ai dati sensibili di essere cancellati da remoto in modo che non cadano nelle mani sbagliate.
Anche i dipendenti più fidati e altamente qualificati corrono grossi rischi di errore umano. Gli amministratori di sistema e di rete sono comunemente colpevoli di errate configurazioni del sistema, pratiche di gestione delle patch scadenti e uso di nomi e password predefiniti. Esistono numerosi controlli di sicurezza che le organizzazioni possono esplorare per proteggersi da questo tipo di minacce.
Gli aggressori sanno esattamente come sfruttare la curiosità umana
I criminali informatici stanno prendendo di mira gli interessi delle persone, ma il successo di questa tecnica non dipende interamente dagli utenti finali che commettono errori. Il social engineering è una tecnica comune utilizzata dagli aggressori per indurre in errore.
Oggi, i siti web vengono sempre più violati, poiché gli utenti li userebbero abitualmente senza pensarci due volte.
Persone, processi e tecnologia
Come per gli errori commessi esclusivamente dagli utenti stessi, come l’invio involontario di dati sensibili fuori dall’organizzazione, ci sono tecnologie disponibili per le organizzazioni per aiutare a proteggersi da fattori esterni che colpiscono i singoli utenti nella speranza di indurre loro a fare errori.
Per arginare gli errori commessi attraverso l’ingegneria sociale e aumentare la consapevolezza del personale, la tecnologia e i processi devono essere combinati con la formazione sulle minacce e sul ruolo che dovrebbero svolgere le persone per proteggerle.
La sicurezza delle organizzazioni dipende dall’istruzione costante dei dipendenti sull’identificazione di casi sospetti e nuovi possibili rischi.
Read More