Gli incidenti informatici causati dal “fattore umano” sono di solito attribuiti a errori occasionali dei dipendenti, ma spesso viene trascurato un elemento più importante: tra le minacce interne troviamo il comportamento deliberatamente dannoso del personale. A conferma, un nuovo studio di Kaspersky ha rilevato che negli ultimi due anni il 77% delle aziende di tutto il mondo ha dovuto affrontare incidenti informatici, di cui un quinto causato da comportamenti intenzionali da parte dei dipendenti.
Quando si esamina il “fattore umano”, che può influire negativamente sulle performance di un’azienda, si possono individuare diversi elementi, che vanno dai normali sbagli dei dipendenti all’errata allocazione del budget da parte dei decision maker. Le azioni dolose del personale sono uno dei fattori più importanti, spesso trascurato. Questo dato è stato rivelato da un recente studio di Kaspersky, secondo il quale, negli ultimi due anni, il 20% delle aziende di tutto il mondo ha subito incidenti informatici a causa di comportamenti illeciti per scopi personali da parte dei dipendenti. Un recente caso verificatosi presso l’azienda Tesla illustra i pericoli che le minacce interne rappresentano per le imprese. Due ex dipendenti hanno rivelato a un giornale tedesco nomi, indirizzi, numeri di telefono ed e-mail di 75.735 attuali ed ex dipendenti. Le autorità di regolamentazione del Maine sono state informate dell’incidente con una notifica di violazione dei dati il 18 agosto, dopo che la società era venuta a conoscenza della violazione il 10 maggio dall’organo di stampa tedesco Handelsblatt e aveva condotto un’indagine interna.
Minacce interne: cosa c’è da sapere
Cosa sono?
Esistono due tipi principali di minacce interne: intenzionali e non intenzionali. Le minacce non intenzionali, o accidentali, sono rappresentate da errori dei dipendenti, come cadere nel phishing e in altri metodi di social engineering, o inviare informazioni sensibili e riservate alla persona sbagliata, ecc.
Le minacce intenzionali, invece, sono perpetrate da personale malintenzionato che si introduce di proposito nei sistemi del proprio datore di lavoro. Generalmente agiscono per ottenere un guadagno economico dalla vendita di dati sensibili o come vendetta. Gli insider con propositi malevoli hanno l’obiettivo di interrompere o bloccare le regolari operazioni commerciali di un’organizzazione, rivelare i punti deboli dell’IT e ottenere informazioni riservate.
Gli insider con intenzioni malevole sono i più pericolosi tra i dipendenti che possono provocare incidenti informatici. Le conseguenze delle loro azioni sono complicate da diversi fattori:
· Hanno una conoscenza specifica dell’infrastruttura e dei processi di un’organizzazione, compresa la conoscenza degli strumenti di sicurezza informatica utilizzati.
· Sono già all’interno della rete aziendale e non hanno bisogno di introdursi nel perimetro dall’esterno tramite phishing, attacchi al firewall e così via.
· Hanno colleghi e amici all’interno dell’organizzazione, quindi è molto più facile per loro usare il social engineering.
· Hanno come unico obiettivo quello di danneggiare l’azienda.
Quali sono le ragioni delle azioni dolose degli insider?
Uno dei motivi principali che spinge i dipendenti a commettere azioni dannose contro il datore di lavoro è il guadagno economico. Spesso, infatti, rubano informazioni sensibili con l’intenzione di venderle a terzi: ai concorrenti o addirittura di metterle all’asta sul dark web, dove i cyber criminali acquistano dati per attaccare le aziende.
In caso di licenziamento di un dipendente, potrebbero verificarsi comportamenti spiacevoli per vendetta. Questo può avvenire anche attraverso contatti con il personale in servizio, ma lo scenario peggiore si verifica se i dipendenti possono ancora accedere al loro account di lavoro da remoto perché l’organizzazione non ha provveduto a rimuovere l’autorizzazione di accesso ai sistemi nel momento in cui il dipendente ha lasciato l’azienda.
I dipendenti possono anche agire con malizia quando non sono soddisfatti del loro lavoro o per “vendicarsi” di un datore di lavoro che non ha concesso loro un aumento o una promozione, ad esempio.
Un altro tipo interessante di azione malevola si verifica quando uno o più insider collaborano con un attore esterno per compromettere un’organizzazione. Questi incidenti comportano spesso il reclutamento da parte dei criminali informatici di uno o più insider per portare a termine diversi tipi di attacchi. Possono anche verificarsi casi in cui terze parti, come concorrenti o altre parti interessate, collaborano con il personale per ottenere i dati sensibili dell’azienda.
“Gli attori malevoli possono essere scoperti ovunque: nelle grandi aziende o nelle piccole imprese, non si sa mai. Ecco perché le aziende dovrebbero costruire un sistema di sicurezza informatica aggiornato, resiliente e trasparente, unendo soluzioni di protezione efficaci, protocolli di sicurezza smart e programmi di formazione per il personale IT e non IT per salvaguardarsi da questa minaccia. Inoltre, è fondamentale implementare prodotti e soluzioni che proteggano l’infrastruttura dell’organizzazione. Ad esempio, il nostro Kaspersky Endpoint Detection and Response Optimum contiene Advanced Anomaly Control che aiuta a rilevare e prevenire attività sospette e potenzialmente pericolose, sia da parte di un insider che lavora all’interno di un’azienda, sia da parte di un attore esterno all’organizzazione”, ha commentato Alexey Vovk, Head of Information Security di Kaspersky.
Per combattere le minacce interne dannose, Kaspersky consiglia di:
· Implementare la formazione sulla cybersecurity per sensibilizzare i dipendenti e prevenire le violazioni intenzionali della politica di sicurezza delle informazioni. Per aumentare l’awareness dei dipendenti, consigliamo il programma di formazione Kaspersky Automated Security Awareness Platform, che fornisce consigli su un corretto comportamento su Internet.
· Investire in programmi di formazione pertinenti per gli specialisti della sicurezza IT. La formazione Kaspersky Cybersecurity for IT Online aiuta a creare best practice facili ma efficaci relative alla sicurezza IT e semplici scenari di risposta agli incidenti per gli amministratori IT generalisti, mentre Kaspersky Expert Training fornisce al team di
sicurezza le conoscenze e le competenze più recenti in materia di gestione e mitigazione delle minacce. · La funzione Advanced Anomaly Control di Kaspersky Endpoint Security for Business Advanced, Kaspersky Total Security for Business e Kaspersky Endpoint Detection and Response Optimum aiuta a prevenire attività potenzialmente pericolose da parte dei dipendenti o nel caso in cui un aggressore abbia preso il controllo del sistema.
· Controllo e limitazione dell’uso di dispositivi personali e di applicazioni e servizi di terze parti. Kaspersky Endpoint Security for Business e Kaspersky Endpoint Security Cloud offrono controlli su applicazioni, Web e dispositivi che limitano l’uso di applicazioni, siti Web e periferiche non richieste, riducendo in modo significativo i rischi di infezione anche nei casi in cui i dipendenti utilizzano dispositivi, applicazioni o servizi non autorizzati dall’azienda per trasferire dati.
· Implementare prodotti che consentano di limitare i diritti dell’amministratore solo alle opzioni realmente necessarie per il lavoro. Kaspersky Endpoint Security for Business offre un accesso basato sui ruoli agli elementi della console di gestione di Kaspersky Security Center, quindi non tutti gli amministratori necessitano di un controllo completo sulle funzioni di sicurezza. · Kaspersky Security for Internet Gateway dispone anche di un filtro dei contenuti, per impedire la trasmissione di dati non richiesti, indipendentemente dal tipo, dallo stato di protezione della piattaforma o dal comportamento degli utenti negli endpoint all’interno della rete.