Ancor prima di difendersi dai cybercriminali, le aziende dovrebbero imparare a difendersi dai propri dipendenti. Il tema delle cosiddette minacce interne è ben noto tra gli addetti ai lavori della sicurezza informatica, sia tra vendor sia tra i responsabili aziendali: che si tratti di negligenze, ignoranza sui rischi o di azioni dolose, spesso sono i dipendenti a causare problemi su dispositivi, applicazioni e reti. E, soprattutto, a causare fughe di dati. Uno studio di Kaspersky (“2022 IT Security Economics”) lo conferma: l’anno scorso, su un campione di tremila piccole e medie imprese di 26 Paesi, il 22% dei casi di perdita di dati è stato provocato dai dipendenti. La quota di data loss causato da attacchi informatici è comparabile.
Si è trattato soprattutto della conseguenza di azioni avventate, come un click su un allegato malevolo o su un link di phishing, ma non mancano le azioni vendicative di dipendenti insoddisfatti o ex dipendenti. E talvolta l’errore parte dagli stessi amministratori IT, che scelgono procedure e regole di cybersicurezza troppo deboli o fallaci.
In particolare sono tre, secondo Kaspersky, le aree critiche su cui è necessario intervenire. La prima è quella delle password: i collaboratori aziendali a volte usano credenziali troppo semplici o facili da indovinare (che prestano dunque il fianco a eventuali attacchi brute force). Questa abitudine è dura a morire, sebbene sia un problema noto. Esiste addirittura una lista delle password più hackerate.
Un secondo problema, altrettanto noto, è che il personale aziendale è ancora vulnerabile al phishing. A volta il destinatario crede alla truffa che viene proposta, anche perché i messaggi diventano via via più sofisticati e credibili grazie a tecniche di social engineering e impersonificazione di utenti o brand. Altre volte una semplice distrazione o la fretta portano a cliccare su un link che innesca la catena d’attacco.
La terza area di debolezza, diventata ancor più critica negli ultimi anni con la diffusione dello smart working, sono le policy Byod (Bring Your Own Device). Kaspersky sottolinea che la maggior parte delle aziende non può o non vuole impedire ai dipendenti di accedere ai dati aziendali attraverso i loro dispositivi personali (i quali, notiamo, quasi sempre sono usati sia per lavorare sia per intrattenimento e attività extralavorative).
Un errore tipico dei responsabili IT, rimarca Kaspersky, è quello di non usare la crittografia per proteggere i dati aziendali contenuti in un notebook personale, che potrebbe essere smarrito o rubato. Alcune aziende aggirano il problema consentendo il solo uso di Pc autorizzati o limitando l’invio di dati e vietando l’utilizzo di chiavette Usb. Tuttavia questo approccio non può essere applicato in un’azienda che si avvale delle policy Byod. Di fronte al rischio di furto o smarrimento, un soluzione possibile è crittografare (totalmente o in parte) e proteggere con password i dati aziendali archiviati su Pc e chiavette.
Kaspersky cita anche il problema della mancanza di patch (i dipendenti potrebbero non essere in grado di installarle o di capire se un software sia già stato corretto e aggiornato) e l’assenza di backup o di un backup eseguito con regolarità (un “salvagente” per recuperare i dati in caso di ransomware). L’utilizzo di soluzioni di protezione con funzionalità anti-phishing per gli endpoint e i server di posta elettronica riduce il rischio a monte, e questo va associato a policy sicure sulle password e sul Byod, all’utilizzo di crittografia e backup. Bisogna, inoltre, proteggere anche i dati archiviati in cloud e non solo quelli presenti sui dispositivi.