Lo dicono in molti, e da tempo, ma alla luce dei risultati c’è ancora bisogno di ripeterlo: il fattore umano è il punto debole della cybersicurezza in azienda. I dipendenti, manager inclusi, sono spesso involontari complici di chi realizza infezioni malware, attacchi ransomware e data breach. Le ragioni sono molteplici, e potremmo citare innanzitutto le conoscenze scarse sul tema, il mancato rispetto delle policy, limprudenze nell’uso dell’email o di servizi cloud, il ricorso sempre più frequente a dispositivi personali utilizzati anche per lavorare ma privi di protezioni adeguate. Axitea, un fornitore di servizi di sicurezza gestiti, riassume il tutto nell’espressione “fattore H”, cioè fattore umano. Elisabetta Dessi, cyber sales specialist dell’azienda, ci spiega come poter affrontare correttamente il problema.

 

Elisabetta Dessi, cyber sales specialist di Axitea

 

Quando si presentano a un cliente le armi e le strategie per difendersi da attacchi e si spiega come comportarsi in caso di incidente, si parla sempre di soluzioni, servizi e tecnologie. Si dà spesso troppa poca importanza a quella che è attualmente la causa principale di incidenti di sicurezza: il fattore umano o, come viene chiamato in ambito cyber, il “fattore H”.

Gli attaccanti usano sempre più il social engineering per rendere i loro attacchi il più possibile efficaci e abbastanza ingannevoli da indurre le persone a cadere nel tranello di aprire file, cliccare su link o condividere informazioni con altri, creando una catena di problemi per le aziende e gli utenti. Secondo un recente studio del vendor di security Proofpoint, oltre il 99% delle minacce per agire richiede un'interazione umana  (l’abilitazione di una macro, l’apertura di un file, di un link o di un documento), a indicare l'importanza del social engineering per consentire il successo di un attacco.

Da un lato la ricerca di vulnerabilità tecnologiche è diventata sempre più complessa e costosa anche per i cybercriminali, mentre un utilizzo sempre più spinto dei social media, non sempre ottimale dal punto di vista della sicurezza, mette a disposizione di tutti informazioni anche personali che possono essere sfruttate per creare messaggi credibili, che spingano i destinatari ad azioni imprudenti e non conformi alle policy aziendali.

Ricordate la truffa del falso Ceo? È una frode informatica che è stata portata a termine avendo trovato il contatto giusto, scrivendo una mail plausibile e credibile tramite una falsa identità dirigenziale, per indurlo a effettuare un bonifico bancario urgente. Questa frode esiste da tempo, ha creato danni a moltissime persone e continua a mietere vittime: è forse l'esempio più famoso di quanto il fattore H sia importante. Inviare email fraudolente, rubare le credenziali e caricare allegati dannosi nelle applicazioni cloud è più facile e molto più redditizio che creare un exploit complesso e costoso, che ha anche un'alta probabilità di fallimento. 

Negli ultimi anni abbiamo assistito a una crescita tecnologica esponenziale, sia dal punto di vista delle opzioni e delle funzionalità sia della sua effettiva diffusione, in ambienti domestici e lavorativi. Adesso si è però arrivati al punto in cui sono le persone a fare la differenza: se analizziamo la catena della sicurezza logica in un’azienda, il comportamento dei dipendenti è tra gli elementi più critici e va quindi "configurato" e "ottimizzato" come tutti gli altri elementi che la compongono.

Non viene richiesto ovviamente di diventare degli psicologi esperti, ma il social engineering deve rientrare tra i mezzi utilizzati per la difesa degli asset aziendali, innanzitutto aumentando la consapevolezza delle persone e poi formandole in base a quanto rilevato tramite un assessment attento e puntuale sia sulla parte tecnologica sia su quella umana. È fondamentale quindi rivolgersi ad aziende che propongano un approccio consulenziale e che sappiano offrire un'analisi approfondita per consigliare non solo le migliori tecnologie, ma anche le migliori strategie da adottare per mettere al sicuro gli asset e le persone che lavorano per e con l’azienda.