Il contesto odierno, digitalizzato, impone un’attenzione sempre maggiore alla sicurezza informatica. Essa si occupa della tutela dei dati riservati, contenuti in qualunque tipologia di sistema di elaborazione, servendosi di programmi e strumenti hardware più specifici. La quantità di dati contenuta nei computer cresce a dismisura e a ritmi sempre maggiori, determinando la necessità di una buona organizzazione in fatto di mantenimento e controllo di queste informazioni.
In particolar modo, quando si tratta di contenuti di valore, che implicano riservatezza e segretezza, sarebbe auspicabile investire ed affidarsi alle migliore tecniche di protezione, al fine di arginare il più possibile minacce di natura tanto esogena quanto endogena.
Quando si parla di cyber risk, si fa riferimento ad un intrecciarsi di fattori quali: la minaccia, la vulnerabilità e le conseguenze. Le minacce sono di diversa natura, gruppi o singoli, stati nazionali o imprese, criminal hacker; tutti sono accomunati da una serie di motivazioni per cui compiere certe azioni malevoli. La vulnerabilità è ciò su cui fanno leva le minacce, per esempio la debolezza di un sistema o di una procedura.
Infine, la conseguenza è il danno che ne risulta: si va dalla perdita di dati sensibili, all’interruzione di una rete aziendale, al danno elettronico fisico o alla base di clienti dell’azienda e della società in generale, con conseguenti costi diretti e indiretti.
Quando la minaccia arriva da un ambiente interno si parla di ‘insider threats’, letteralmente ‘minacce interne’.
L’insider threat
Secondo uno studio condotto da un gruppo di ricercatori americani, in collaborazione con un equipe di Cyber Security Researcher, più del 50% delle organizzazioni intervistate confermano attacchi interni ai propri sistemi informatici nei 12 mesi precedenti, e il 27% conferma un aumento di frequenza del fenomeno dell’insider threats.
In particolar modo, quello che accade nell’insider threat è una vera e propria frode di informazioni a danno dei propri datori di lavoro, clienti, partner o agenzie, col fine di rivenderle a secondi interessati (come i concorrenti) e ricavarne ingenti guadagni monetari, oppure renderle pubbliche e compiere atti di denuncia per svariate ragioni, come, per esempio, il ricatto o la vendetta per fatti accaduti durante il rapporto lavorativo.
A livello pratico, i così detti ‘insider’ sono i dipendenti, i collaboratori o i soci con cui si ha condiviso una serie di informazioni legate all’attività lavorativa e alla sua sicurezza a livello informatico, il che rende l’operazione di furto decisamente più facile in quanto in partenza essi risultino legittimati nell’utilizzare determinate credenziali.
I dati che vengono rubati e sottratti senza permesso, o anche fatti oggetto di sabotaggio, possono essere di qualunque natura: a partire da dati più strutturati come piani per prodotti, contatti con i clienti, segreti commerciali, credenziali di accesso; a dati meno strutturati come i codici sorgente, pratiche e protocolli di sicurezza o sistemi informatici; possono essere dati di valore commerciale, riservati, oggetto di proprietà intellettuale.
Oggi più che mai queste tipologie di contenuti sono in crescita e tendono ad essere sempre più facilmente spostati e condivisi in quanto utilizzabili su diversi sistemi informatici, aumentandone cosi al contempo la loro vulnerabilità.
Da tener presente anche il fatto che l’ingente attività di movimento dei dati non è certo favorevole alla protezione dei propri dati, generando un contesto più caotico e fluido in grado di distogliere l’attenzione.
Inoltre, è determinante anche il fatto che, per mettere in atto queste pratiche, si ricorra tendenzialmente a strumenti di lavoro comuni, e quindi anche poco lampanti in termini di sospettosità, come per esempio:
- Chiavette Usb;
- Archiviazione tramite posta elettronica;
- Archiviazione tramite cloud.
L’atto di insider threat può essere anche una forma di sabotaggio organizzata mediante l’inserimento intenzionale di certi codici atti a provocare problemi e azioni sconvenienti ai danni di un software o di un sistema informatico, causando la perdita o il degrado delle risorse o delle capacità di organizzazione per permettere alla vittima di svolgere la propria missione o funzione aziendale.
Infine, è necessario tener presente che le azioni di insider threats possono anche verificarsi in maniera non intenzionale, per negligenza e mancanza di attenzione, generando problemi accidentali ma di uguale gravità a quella intenzionali.
Come difendersi
Innanzitutto è bene servirsi di programmi di difesa contro minacce interne, strumenti in grado di fornire un modello per integrare le attività di sicurezza informatica nelle attività di gestione ordinaria, basandosi su monitoraggi continui dell’ambiente di sicurezza, consentendo un rilevamento tempestivo e una risposta ai rischi di sicurezza informatica.
È bene poi investire sulla formazione legata alla consapevolezza della sicurezza e all’applicazione delle politiche di sicurezza, prestare in generale maggiore attenzione ai dati, soprattutto se essi sono fatti oggetti di spostamento.
Anche la limitazione degli accessi allo stretto necessario risulta una pratica consigliata e da sfruttare nei limiti del possibile.
Un altro accorgimento riguarda la gestione del proprio personale, osservare e comprenderne i comportamenti può aiutare nella previsione di possibili attacchi interni.
A livello psicosociale, segni di comportamento antisociale, tra cui machiavellismo, narcisismo e psicopatia sono da tenere in considerazione; così come atteggiamenti di scontento, calo nelle prestazioni, uso prevalente del linguaggio negativo e violazione delle politiche aziendali.
A livello di comportamento lavorativo, attività come lo scarico di notevoli quantità di dati su unità esterne, la richiesta di materiale e dati non necessari per l’attività lavorativa e la connessione ad account esterni con cui condividere informazioni sono da tenere ugualmente sott’occhio.
È naturalmente impossibile avere policy che cerchino di trovare e bloccare tutto ciò che ogni dipendente fidato può fare di dannoso. Ecco perché è tanto importante essere in grado di monitorare attentamente l’attività su tutti i dati in modo che fenomeni come il cyber insider threat vengano quanto più limitati.
La sicurezza in ambito informatico è utopica se pensata a livello totale, ma deve essere considerata in un’ottica di continuo aggiornamento e perfezionamento qualitativo delle tecniche di difesa in parallelo con lo sviluppo degli attacchi hacker, di modo da essere sempre in grado di proteggersi e tutelare i propri dati.
© RIPRODUZIONE RISERVATA