Quando si parla di cybersecurity è importante affiancare alla sensibilizzazione sul pericolo delle minacce cyber, formazione e un cambiamento del comportamento. Ognuno di questi fattori funzionano a favore della sicurezza aziendale, solo se attuati insieme.
Proofpoint, azienda operante nel settore della cybersecurity e della compliance, ha pubblicato il suo decimo report annuale “State of the Phish”, rivelando che più di due terzi (72%) dei dipendenti italiani mettono consapevolmente a rischio le proprie aziende, causando potenzialmente infezioni da ransomware o malware, violazioni dei dati o perdite finanziarie. E mentre l’incidenza degli attacchi di phishing andati a buon fine è leggermente diminuita (il 65% delle aziende intervistate in Italia ha subito almeno un attacco andato a buon fine nel 2023, contro il 79% dell’anno precedente), le conseguenze negative sono aumentate vertiginosamente. C’è stato un aumento del 100% delle segnalazioni di sanzioni finanziarie dirette, come le multe, e un aumento del 385% delle segnalazioni di danni alla reputazione.
Sicurezza aziendale: la sola formazione non basta
I risultati del report di quest’anno mettono in discussione la convinzione tradizionale che le persone compiano azioni pericolose a causa della mancanza di conoscenze in materia di cybersecurity e che la formazione sulla sicurezza aziendale sia sufficiente a prevenire completamente i comportamenti a rischio. L’equivoco si estende alla convinzione da parte dei professionisti della sicurezza che la maggior parte dei dipendenti sappia di essere responsabile della protezione aziendale, segnalando un divario tra limiti della tecnologia di sicurezza individuale e formazione degli utenti.
“I criminali informatici sanno che gli esseri umani possono essere facilmente sfruttati, sia per negligenza, sia con la compromissione della loro identità o, in alcuni casi, per intenzioni malevole,” ha dichiarato Ryan Kalember, Chief Strategy Officer di Proofpoint. “Gli individui giocano un ruolo centrale nella sicurezza di un’azienda, visto che il 74% delle violazioni è ancora incentrato sull’elemento umano. Sebbene la promozione della cultura della sicurezza sia importante, la formazione da sola non è efficace. Sapere cosa fare e metterlo in pratica effettivamente sono due cose diverse. La sfida non è solo creare consapevolezza, ma anche attivare un cambiamento del comportamento”.
Il report State of the Phish 2024 fornisce una panoramica approfondita dell’attuale panorama delle minacce alla sicurezza aziendale, in cui AI generativa, codici QR e autenticazione multifattore (MFA) sono abusati dagli attori malintenzionati, come risulta dalla telemetria di Proofpoint su oltre 2,8 trilioni di email scansionate in 230.000 aziende in tutto il mondo, nonché dai risultati di 183 milioni di attacchi di phishing simulati inviati in un periodo di dodici mesi. Il report esamina anche le percezioni di 7.500 dipendenti e 1.050 professionisti della sicurezza in 15 Paesi, mostrando come l’atteggiamento verso la sicurezza si manifesti nel comportamento reale e come gli attori delle minacce stiano trovando nuovi modi per sfruttare la nostra preferenza per velocità e rapidità, nonché lo stato attuale delle iniziative di sensibilizzazione alla sicurezza.
Il panorama italiano
Tra i principali risultati del report State of the Phish 2024 di Proofpoint per l’Italia troviamo:
- I dipendenti compiono azioni rischiose nonostante la propria consapevolezza della sicurezza: il 74% dei lavoratori adulti intervistati ha ammesso di aver compiuto azioni rischiose, come riutilizzare o condividere una password, cliccare su link provenienti da mittenti sconosciuti o consegnare le proprie credenziali a una fonte non affidabile. Il 97% di loro lo ha fatto conoscendo i rischi intrinseci alla sicurezza aziendale, il che significa che il 72% dei dipendenti italiani ha consapevolmente minato la sicurezza della propria azienda. Le motivazioni alla base delle azioni rischiose sono varie: comodità (34%), desiderio di risparmiare tempo (41%) e senso di urgenza (24%).
- C’è disconnessione tra team IT e dipendenti sulla la promozione di un reale cambiamento del comportamento: mentre il 74% dei professionisti della sicurezza intervistati afferma che la maggior parte dei dipendenti sa di essere responsabile della protezione, il 63% dei non ne è sicuro o afferma di non esserne affatto responsabile. Nonostante praticamente tutti i dipendenti che hanno intrapreso un’azione rischiosa fossero a conoscenza dei rischi intrinseci (97%) – una chiara indicazione del fatto che la formazione sta funzionando per aumentare la consapevolezza dei dipendenti – ci sono evidenti disparità tra ciò che professionisti della sicurezza e dipendenti ritengono sia efficace per incoraggiare un reale cambiamento di comportamento. I professionisti della sicurezza ritengono che la risposta sia una maggiore formazione (82%) e controlli più severi (78%), ma quasi tutti i dipendenti intervistati (93%) hanno dichiarato che darebbero priorità alla sicurezza aziendale se i controlli fossero semplificati e più facili da usare.
- L’MFA continua a fornire un falso senso di sicurezza, lasciando le aziende esposte: ogni mese viene lanciato più di un milione di attacchi con il framework MFA-bypass EvilProxy, eppure, elemento preoccupante, l’89% dei professionisti della sicurezza italiani crede ancora che l’MFA fornisca una protezione completa contro l’account takeover.
- L’efficacia degli attacchi BEC (Business Email Compromission) aumenta con l’intelligenza artificiale: in Italia, il 51% delle aziende è stato preso di mira da attacchi BEC nel 2023 (la stessa percentuale del 2022). In generale, a livello globale, le imprese hanno segnalato meno tentativi di frode via email, ma il volume degli attacchi è cresciuto in paesi come Giappone (aumento del 35% rispetto all’anno precedente), Corea del Sud (+31%) ed Emirati Arabi Uniti (+29%). Questi Paesi potrebbero aver registrato in precedenza un minor numero di attacchi BEC a causa di barriere culturali o linguistiche, ma l’intelligenza artificiale generativa consente agli aggressori di creare email più convincenti e personalizzate in più lingue. Proofpoint rileva una media di 66 milioni di attacchi BEC mirati ogni mese.
- L’estorsione cyber rimane una forma lucrativa di attacco: il 71% delle aziende italiane ha subito un’infezione da ransomware nell’ultimo anno (con un aumento del 61% rispetto a quello precedente); in modo allarmante, il 66% dei professionisti IT italiani ha dichiarato che la propria azienda ha subito più infezioni da ransomware separate. Di quelle colpite, il 23% ha accettato di pagare gli attaccanti (in calo rispetto al 27%) e solo il 25% ha riacquistato l’accesso ai propri dati dopo un singolo pagamento (in calo rispetto al 38% di un anno fa).
- Gli attacchi TOAD (Telephone-oriented attack delivery) continuano a prosperare: sebbene inizialmente possa sembrare un messaggio benigno, contenente semplicemente un numero di telefono e alcune informazioni errate, questa catena di attacchi si attiva quando un dipendente ignaro chiama un call center fraudolento, fornendo le proprie credenziali o concedendo accesso remoto ad attori malintenzionati. Proofpoint rileva in media 10 milioni di attacchi TOAD al mese, con un picco recente nell’agosto del 2023, in cui sono stati registrati 13 milioni di incidenti.
Nonostante la crescente importanza e sofisticazione di minacce come ransomware, TOAD e MFA bypass, molte aziende non sono adeguatamente preparate o formate per affrontarle. Solo il 23% forma i propri utenti su come riconoscere e prevenire gli attacchi TOAD, e solo il 15% sulla sicurezza aziendale legata all’AI generativa.