Le organizzazioni stanno prendendo sempre più coscienza che spesso le minacce legate alla sicurezza informatica non riguardano incidenti determinati da attacchi esterni, oltre perimetro, ma che emergono all’interno dell’organizzazione stessa. In effetti, uno studio dell’IEEE sulla sicurezza e la Privacy ha dimostrato che oltre il 70% degli attacchi interni non viene segnalato e reso noto.

Secondo il rapporto Verizon 2019 Data Breach Investigations, questo tipo di violazione continua a crescere di anno in anno, il 34% di tutte le violazioni nel 2018 sono state causate da addetti ai lavori: il 25% nel 2016, il 28% nel 2017 e il 34% nel 2018.

In uno studio condotto dal Cost of Insider Threats del Ponemon Institute 2018, il costo medio di una violazione degli addetti ai lavori è di circa $ 513.000, il che può costare un’azienda fino a $ 8,76 milioni all’anno.

Le organizzazioni stanno certamente diventando più consapevoli delle problematiche riguardanti le minacce interne e stanno in tal senso considerando i loro dipendenti come l’anello più debole nella catena di gestione di questi cyber aspetti. In questo scenario, nonostante gli utenti continuino ad essere negligenti o addirittura ignari e inconsapevoli delle minacce informatiche, l’implementazione di una adeguata strategia difensiva diventa essenziale per la messa in sicurezza delle informazioni aziendali critiche e dell’infrastruttura IT.

Il social engineering al crocevia della cybersecurity

L’ingegneria sociale è una preoccupazione rilevante in questo contesto tecnologico e gli errori umani si traducono in gravi ripercussioni per l’organizzazione nella semplice ma negligente attività che si potrebbe materializzare nell’apertura di un banale allegato di posta elettronica in grado di compromettere la disponibilità di una intera base dati, magari anche condivisa. Si pensi ad esempio alle conseguenze di un ransomware [1] la cui attività di cifratura può rendere indisponibili grandi quantità di informazioni in un breve lasso di tempo e con un semplice clic sul link sbagliato.

Questi errori sono guidati dall’ingegneria sociale che è una tecnica utilizzata dai criminali informatici per trarre vantaggio dal comportamento umano. I tentativi di attacco con queste tecniche sono i più difficili da intercettare e quindi da difendere poiché comportano errori umani. In un rapporto sviluppato da KnowBe4, basato sul phishing e sull’ingegneria sociale nel 2018, il 98% degli aggressori fa affidamento sull’ingegneria sociale poiché considera gli umani un “facile bersaglio”.

Il concetto di social engineering[2] non è nuovo, chi lo mette in pratica cerca di manipolare le persone esposte con lo scopo di ottenere informazioni riservate e poterle riutilizzare successivamente a fini di lucro magari sui “black market” della rete sommersa (darkweb[3]).

Il fattore “F” (Formazione) come difesa preventiva

Un buon approccio di difesa contro l’ingegneria sociale è senz’altro quello di acquisire consapevolezza in merito a questi aspetti della sicurezza sociale. In un ambiente fortemente tecnologico e pertanto suscettibile agli attacchi informatici, il management e l’alta direzione dovrebbero avere un ruolo fondamentale nel dettare le linee guida e mitigare questi fenomeni interni alle organizzazioni soprattutto quando il Business in primis ma anche la tutela della Privacy e della compliance normativa, dipendono dalla tecnologia e dalla rete (Internet).

È indubbio come Internet abbia incrementato in modo esponenziale la mobilità e la connettività per le aziende e le organizzazioni in generale, abbattendo confini logistici e territoriali ma, allo stesso tempo e parallelamente, facendo emergere esponenziali rischi per la sicurezza digitale. Il vantaggio ottenuto dall’evoluzione tecnologica rischia pertanto di essere vanificato se contestualmente non venisse contemplato un piano strategico e relativi investimenti, necessari a garantire inidonee misure di sicurezza sia sul piano tecnico che organizzativo.

L’ingegneria sociale si basa oggi su tecniche più intelligenti e sofisticate che sanno dove e quando colpire le emozioni delle persone per indurle a commettere l’errore e usare poi le informazioni acquisite come un vantaggio sociale o economico. Spesso però questo aspetto diventa solo un tramite, nel senso che non si intendono sfruttare le informazioni del soggetto vittima in quanto tale, ma sfruttarne l’errore umano per poi infiltrarsi sulla rete aziendale dove invece risiede il vero interesse dell’aggressore.

A fronte di errori commessi da utenti che condividono inavvertitamente dati in qualche modo “sensibili”, esistono però delle tecnologie e metodologie che potrebbero aiutare gli utenti a proteggersi e mitigare questi attacchi di ingegneria sociale. Il paradosso sta però nel fatto che, nonostante le “Persone” siano considerate come l’anello più debole della catena di sicurezza informatica, vengono comunemente ignorate quando si tratta di introdurre strategie per combattere gli attacchi di ingegneria sociale.

Diventa quindi necessario invertire questa rotta e sensibilizzare i dipendenti sulle potenziali e attuali minacce del nuovo modo digitale 4.0, sempre più sofisticate e che spesso vengono determinate e messe in atto a causa di un atteggiamento negligente. La formazione alla sensibilizzazione dei dipendenti rispetto a questi scenari dovrebbe essere una strategia chiave per combattere tali attacchi del fattore H. Educare dunque l’utente ad avere una attenzione particolare del proprio ambiente tecnologico e tenerlo sotto monitoraggio per identificare e segnalare immediatamente potenziali rischi sospetti.

Occorre evidenziare che non di rado queste “carenze di conoscenza digitale” sono determinate da dinamiche malsane e insite nel sistema informativo dell’organizzazione stessa e dove l’alta direzione ne detta le regole.

Quando si parla di formazione e educazione alla sicurezza tecnologica rispetto all’errore umano si tende stroppo spesso a pensare che lo stesso sia determinato da un cattivo utilizzo di un apparato informatico o servizio tecnologico. È certamente vero, anche questo, ma il problema in questo caso è a valle. Dovremo prima di tutto capire quali siano state le scelte a monte, quali valutazioni, strategie e quant’altro sia stato contemplato dal management che magari avrebbero potuto evitarlo.

Le esigenze di Business spesso non si sposano con le sempre più stringenti policies della sicurezza informatica che per loro natura, nel contesto aziendale, limitano e controllano i processi di produzione. Oltre ai processi e alla tecnologia, “stare all’erta” è comunque la chiave per evitare le minacce informatiche in prima linea, essere consapevoli e formati sulle metodologie di base che consentono di distinguere e gestire elementi di rischio che potrebbero determinare il fattore H.

L’errore umano è oggi la causa più frequente degli incidenti informatici e della conseguente perdita di informazioni personali o di business e come tali strategiche per l’organizzazione. In questo contesto, il social engineering deve diventare una delle priorità nella difesa delle aziende e dei sistemi informativi.

Quando di parla di sistema informativo si è soliti pensare ad un’azienda o in genere ad un contesto di lavoro, ma oggi queste infrastrutture tecnologiche le troviamo più o meno articolate anche dentro il perimetro delle nostre case. Sono le cosiddette case smart infarcite di domotica e interconnessione alla rete Internet spesso con esigenze futili e sottovalutando questi intelligenti oggetti di cui non si conoscono affatto le vere potenzialità note o celate magari dal Vendor.

Proprio questi ambienti sono terreno fertile di fattore H, in questo scenario servono pertanto politiche mirate e strutturate di formazione e informazione cha partano dagli addetti ai lavori, in primis, per finire con gli utenti finali dove oggi rappresentano una grande fetta di mercato interconnessa ma ancora troppo inconsapevole e facile vettore di questo malevolo fattore H.

Non è possibile eliminare la dipendenza dall’intelligenza umana, ma c’è sempre la possibilità di improvvisarla.

________________________________________________________________________

[1] Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. Wikipedia

[2] Il social engineering riunisce una serie di tecniche rivolte a spingere le persone a fornire informazioni personali come password o dati bancari o a consentire l’accesso a un computer al fine di installare segretamente software dannosi. I ladri e i truffatori utilizzano il social engineering in quanto è più facile spingere una persona a rivelare le proprie password rispetto all’ottenere tali informazioni mediante tecniche da hacker.

[3] Il dark web (in italiano: web oscuro o rete oscura) è la terminologia che si usa per definire i contenuti del World Wide Web nelle darknet (reti oscure) che si raggiungono via Internet attraverso specifici software, configurazioni e accessi autorizzativi. Il dark web è una piccola parte del deep web, la parte di web che non è indicizzata da motori di ricerca, sebbene talvolta il termine deep web venga usato erroneamente per riferirsi al solo dark web. Wikipedia

Alessandro Bonu

Systems Infrastructure Engineer - IT Security Specialist - Digital Forensics Expert at Engineering D.HUB
Analisi e progettazione di architetture IT con particolare attenzione ai requisiti e Policy di Cyber Security per l'implementazione e il monitoraggio di misure adeguate per la protezione di reti e tecnologie informatiche a tutela e salvaguardia delle informazioni digitali.
Alessandro Bonu