Tutto è iniziato quando un dipendente di una nota casa automobilistica ha ricevuto un invito da parte di un ex socio per un aperitivo. Dopo diversi incontri, il conoscente ha chiarito le sue vere intenzioni offrendo al dipendente un milione di dollari per introdurre un malware nella rete informatica dell’azienda in uno schema che, se fosse andato a buon fine, avrebbe permesso a un gruppo di criminali informatici di rubare dati vitali aziendali e di chiedere un riscatto. Fortunatamente, il piano è fallito dopo che il dipendente ha segnalato l’offerta al datore di lavoro che, collaborando con l’FBI, ha assicurato alla giustizia il vecchio socio. Tuttavia, le cose sarebbero potute andare diversamente. Il tentativo di attacco ha infatti evidenziato che i dipendenti non sono solo la risorsa più importante di un’organizzazione, ma spesso anche il suo più grande rischio informatico, un rischio che spesso passa inosservato. Alcuni dati statistici possono aiutare a chiarire il concetto. Secondo il Data Breach Investigations Report (DBIR) 2023 di Verizon, il 19% delle circa 5.200 violazioni di dati esaminate è stato causato da soggetti interni. L’indagine condotta dal Ponemon Institute su 1.000 professionisti dell’IT e della sicurezza IT di organizzazioni che hanno subito “eventi materiali causati da un insider” ha rilevato che il numero di incidenti di sicurezza legati a figure interne è aumentato del 44% in soli due anni. Il report 2022 Cost of Insider Threats Global stima il numero di questi eventi a oltre 6.800, con una spesa annua di 15,4 milioni di dollari per la bonifica delle minacce interne.
La superficie di attacco si allarga – anche per le minacce interne
Minacce informatiche gravi come gli attacchi alla supply-chain del software, le frodi BEC (Business Email Compromission) e altre truffe che sfruttano i login dei dipendenti, insieme al ransomware e ad altri attacchi spesso facilitati da un fiorente modello commerciale di cybercrime-as-a-service, hanno spinto la cybersecurity in cima alle agende dei consigli di amministrazione. Con la corsa alla digital transformation, il passaggio a modalità di lavoro flessibili basate sul cloud e la crescente dipendenza da fornitori terzi, la superficie di attacco di ogni organizzazione si è notevolmente ampliata. Il panorama della cybersecurity è ora più complesso che mai e, poiché gli aggressori approfittano senza sosta di questa complessità, individuare e dare priorità ai rischi più critici non è sempre semplice. Le minacce interne non sono in genere considerate “di primo piano”, anche se l’impatto di un incidente causato da un insider è spesso ancora più grave di quello di un incidente causato da un attaccante esterno.
Proprio sotto ai nostri occhi
Una minaccia interna è un tipo di minaccia alla cybersecurity che proviene dalle profondità di un’organizzazione, in quanto si riferisce tipicamente a un dipendente o a un collaboratore, attuale o precedente, che potrebbe causare danni alle reti, ai sistemi o ai dati aziendali. Le minacce interne si dividono in due grandi tipologie: quelle intenzionali e quelle non intenzionali, mentre le seconde si suddividono in accidentali e in negligenti. Gli studi dimostrano che la maggior parte degli incidenti legati agli insider sono dovuti a disattenzione o negligenza, piuttosto che a dolo.
La minaccia può assumere diverse forme, tra cui il furto o l’uso improprio di dati riservati, la distruzione di sistemi interni, la concessione dell’accesso a soggetti malintenzionati e così via. Tali minacce sono solitamente motivate da diversi fattori, come motivi finanziari, di vendetta, ideologici, di negligenza o di vera e propria cattiveria. Queste minacce pongono sfide di sicurezza uniche, in quanto possono essere difficili da rilevare e ancor più da prevenire, anche perché gli insider hanno opportunità molto più ampie rispetto agli attaccanti esterni. Naturalmente, i dipendenti necessitano di un accesso legittimo ed esteso
ai sistemi e ai dati di un’organizzazione per poter svolgere il proprio lavoro, il che significa che la minaccia potrebbe non essere evidente fino a quando l’attacco non si verifica effettivamente o dopo che il danno è stato fatto. Gli insider, inoltre, conoscono le procedure di sicurezza del loro datore di lavoro e possono aggirarle più facilmente. Inoltre, anche se i nulla osta di sicurezza richiedono controlli sul background, non tengono conto dello stato d’animo personale, che può cambiare con il passare del tempo.
Tuttavia, esistono alcune misure che un’organizzazione può adottare per ridurre al minimo il rischio di minacce interne che si basano su una combinazione di controlli di sicurezza e cultura della consapevolezza della sicurezza e si estendono a strumenti, processi e persone.
Misure preventive per ridurre il rischio di minacce interne
Queste misure contribuiscono a proteggere le organizzazioni dalle minacce interne.
Controlli di accesso: l’implementazione di controlli di accesso come il controllo degli accessi basato sui ruoli (RBAC) può aiutare a limitare l’accesso ai dati e ai sistemi sensibili solo ai dipendenti che ne hanno bisogno per svolgere le proprie mansioni. In questo modo, un’azienda può ridurre significativamente la propria esposizione alle minacce interne. È inoltre essenziale rivedere regolarmente i privilegi di accesso, in modo che rimangano appropriati e allineati ai ruoli dei dipendenti.
Monitorare l’attività dei dipendenti: l’implementazione di strumenti di monitoraggio per tenere traccia dell’attività dei dipendenti sui dispositivi aziendali o sulla rete può aiutare a identificare comportamenti sospetti che potrebbero essere indicativi di una minaccia interna. Il monitoraggio può anche aiutare a rilevare trasferimenti insoliti di dati o anomalie di accesso a sistemi e dati sensibili. È però necessario garantire la conformità con le normative locali in materia di privacy.
Controlli sul background: effettuare controlli sui precedenti dei dipendenti, collaboratori e fornitori prima di concedere l’accesso a dati riservati può aiutare a identificare eventuali rischi potenziali. Questi controlli possono essere utilizzati anche per verificare la storia lavorativa e la fedina penale di un individuo.
Corsi di formazione sulla sicurezza: offrire regolarmente ai dipendenti una formazione di sensibilizzazione sulla sicurezza è fondamentale per aiutarli a comprendere i rischi della cybersecurity e a ridurli. Ciò può contribuire a ridurre la probabilità di minacce interne accidentali, come ad esempio la caduta in campagne di phishing.
Data loss prevention: l’implementazione di un sistema DLP aiuta a prevenire la perdita o il furto di dati monitorando, rilevando e bloccando trasferimenti o condivisioni non autorizzate di dati sensibili. Ciò contribuisce a ridurre le minacce interne, ma persino i provider di DLP sono nel mirino degli aggressori.
Nessuna di queste misure da sola è infallibile e nessuna soluzione può eliminare completamente le minacce interne. Implementando una combinazione di queste misure e rivedendo e aggiornando regolarmente le policy di sicurezza, le aziende possono ridurre la loro esposizione alle minacce interne.
La scelta migliore: la formazione sulla consapevolezza della sicurezza
Per diverse ragioni, questa è la scelta migliore tra le misure descritte. Innanzitutto, i corsi di formazione aiutano le aziende a risparmiare denaro riducendo il rischio di minacce interne non intenzionali. Il più delle volte, infatti, i dipendenti non sono consapevoli dei rischi legati alla cybersicurezza e possono involontariamente cliccare su un link di phishing, scaricare malware o condividere dati interni riservati, causando violazioni di dati o altri incidenti. Fornendo una formazione regolare ai dipendenti, è possibile prevenire questo tipo di incidenti, riducendo i costi associati alle minacce interne e i danni alla reputazione. Inoltre, la formazione sulla sicurezza può migliorare sia la cyber hygiene personale sia la sicurezza generale di un’azienda, con conseguente aumento dell’efficienza e della produttività, perché i dipendenti educati a riconoscere e a segnalare gli incidenti di sicurezza possono aiutare a rilevare e a mitigare le minacce in fase iniziale, riducendone l’impatto e i costi associati.
A cura di Fabio Buccigrossi, Country Manager di ESET Italia