E’ al centro dell’attenzione, ancora una volta, l’utilizzo dei dispositivi digitali in mobilità, perché con la crescita del loro utilizzo – di fatto quasi una “supremacy” rispetto a quella dei dispositivi per postazioni fisse – si concentra su di essi anche l’attenzione del cybercrime. E affidarsi ai molti device portatili costituisce una minaccia seria per le realtà imprenditoriali. Le politiche Byod, che consentono in tanti casi alle aziende di risparmiare (soprattutto in Italia), con il lavoro ibrido e la proliferazione dell’Internet of Things (IoT) hanno esteso il tema della portata e della complessità della protezione degli endpoint, con un impatto significativo non solo sull’impresa ma anche sui suoi dipendenti, stake holder e clienti.
E’ un dato evidente che emerge dall’ultima edizione, la sesta, di Verizon Business Mobility Security Index 2023 con il 61% dei chief information security officer e il 53% dei Ceo intervistati che ritengono che le proprie aziende non siano adeguatamente preparate per affrontare possibili attacchi informatici mirati nei prossimi 12 mesi. Serve, in concreto, trovare un equilibrio tra user experience, privacy, costi.
Il report fotografa infatti le minacce riscontrate nella protezione dei dispositivi mobile. Grazie agli approfondimenti provenienti dai partner di Verizon – tra cui anche Akamai, Fortinet, Lookout, Allot, Ibm, Proofpoint, Check Point e Ivanti – la ricerca fornisce insight e best practice per supportare le organizzazioni a raggiungere la corretta flessibilità e sicurezza in tutti i processi aziendali.
Vediamo alcuni numeri. Nove attacchi su dieci vanno a buon fine, mentre sette su dieci violazioni dei dati, tra quelle riuscite, partono da un attacco agli endpoint, inoltre il 62% delle aziende negli ultimi tre anni dichiara di aver subito almeno una violazione parzialmente attribuibile al lavoro remoto.
Un utente su tre ha commesso almeno uno dei seguenti errori, con le relative percentuali specifiche: il 18% degli utenti ha cliccato su almeno un link di phishing; il 13% ha scaricato malware tramite smishing che è il phishing via Sms; oltre un utente su dieci ha effettuato il download di malware generici, poco meno del 10% ha condiviso dati personali con un truffatore e l’8% ha rivelato una password ad una fonte non affidabile.
Significativo anche che gli utenti abbiano una probabilità da 6 a 10 volte maggiore di cadere vittime di un attacco di phishing via Sms rispetto ad uno via e-mail. Mike Caralis, Vice Presidente Business Markets di Verizon Business: “La mancanza di comprensione delle potenziali conseguenze, in parallelo il labile confine tra lavoro in ufficio e da casa, rappresenta una combinazione pericolosa ed il crimine informatico sta diventando più sofisticato e non sempre si presenta nella forma che ci si aspetta”.
Sarebbero da stigmatizzare anche una serie di comportamenti non corretti; per esempio quello di oltre sette utenti su dieci che non modificano la password predefinita del proprio Wifi domestico; mentre quasi un terzo (28%) non protegge del tutto la propria connessione; ma c’è anche il 90% dei professionisti che lavora da remoto che accede alle risorse aziendali fuori dalla propria abitazione senza una serie di precauzioni quando utilizza i Wifi pubblici.
Ecco allora che è importante proteggere i dispositivi, guardare con attenzione anche a quelli IoT, perché gli attacchi a loro indirizzati stanno evolvendo, in primis perché cresce il numero delle realtà che li usano e sono sempre di più, e poi perché si prestano a diventare veicoli di attacchi, per esempio facendo parte di una botnet utilizzata per eseguire un attacco DDos e poi perché le applicazioni correlate diventano maggiormente strategiche, trasformando gli stessi device in target.
Purtroppo, se è vero che l’evoluzione della tecnologia cresce di pari passo con il livello di rischio, e la sicurezza – sia mobile sia tech – è diventata una priorità aziendale essenziale, è pure vero che il cybercrime si muove in velocità nell’utilizzo dell’AI per attacchi mirati e più efficaci. E’ diventato ancora più facile creare un deepfake convincente e quindi essere anche più credibili negli attacchi di phishing che sono più efficaci.
Si pensi ai campioni audio che imitano in modo realistico la voce delle persone, ma anche a videointerviste online manipolabili in un messaggio vocale altamente credibile, che incarica un dipendente per esempio di modificare i dettagli di pagamento di un importante fornitore o di reimpostare le credenziali di accesso a un sistema critico. Facile intuire le criticità cui stiamo andando incontro.
© RIPRODUZIONE RISERVATA
