I numeri sulla quantità di smart-working oggi utilizzato nelle PMI italiane, sulla qualità della cyber-hygiene dei dispositivi dei dipendenti e sulla formazione cyber dei dipendenti stessi sono impietosi. Questi i tre fattori principali che producono questo aumentano gli attacchi cyber andati a successo negli ultimi mesi.
I dipendenti con il loro basso livello di formazione in cyber sicurezza rappresentano quella parte del perimetro informatico aziendale più debole e più attaccato dal moderno ed evoluto cyber-crime. Infatti, le statistiche dicono che la maggior parte di attacchi entra nella rete aziendale grazie ad una email con un file Office allegato: il dipendente disinformato o maldestro permette l'ingresso del malware o ransomware in azienda.
Da questo punto in poi "è tutta discesa per il malware/ransomware". Con tecniche di difense evasion e di privilege escalation è in grado di rimanere indisturbato all'interno della rete per mesi, osservando ed analizzando i dati, fino al momento della sua attivazione che non lascia scampo all'imprenditore: dati crittografati, minaccia di pubblicazione su internet degli stessi, richiesta di riscatto per decine di migliaia di euro e azienda ferma per giorni.
Alcuni dati dal rapporto "Cyberchology, The Human Element"
Cyberchology, The Human Element, un rapporto (realizzato da ESET e da The Myers-Briggs Company) che esplora il ruolo che i dipendenti e la loro personalità giocano nel mantenere le organizzazioni al sicuro dalle minacce informatiche.
L’80% delle aziende afferma che un aumento del rischio di sicurezza informatica causato da fattori umani ha rappresentato una sfida durante la pandemia COVID-19, in particolare in periodi di stress elevato. I principali elementi emersi sono:
La criminalità informatica è aumentata del 63% da quando è stato introdotto il blocco COVID-19
L'errore umano è stata la più grande sfida alla cybersecurity durante questa pandemia COVID-19, secondo i CISO
Solo un quarto delle aziende considera efficace la propria strategia di smart-working
Il 47% delle persone è preoccupato per la propria capacità di gestire lo stress durante la crisi del coronavirus
Il rapporto ha rilevato che il 75% delle aziende afferma che metà della propria attività è svolta da dipendenti che ora lavorano da remoto, ma non lo facevano prima di COVID-19, mostrando una forza lavoro attuale altamente dispersa. Con i CISO che segnalano un aumento del 63% del crimine informatico dall'inizio del blocco COVID-19 e il lavoro remoto qui per rimanere per molti dipendenti, le aziende sono più a rischio che mai.
Cyber-security e natura umana: poli opposti
Le persone sono tanto semplici quanto complesse, e anche con le più sofisticate soluzioni di cyber-security, più di un quinto di tutte le violazioni della sicurezza può essere ricondotto a comportamenti umani sconsiderati o involontari. Il download di un file dannoso o il click ad un collegamento, l'utilizzo di password deboli o utilizzate in precedenza, un'errata configurazione della sicurezza sono solo alcuni esempi di un lungo elenco.
Una sicurezza informatica efficace richiede un'attenzione costante e consapevole, processi a più fasi e tempo. Tuttavia, le persone amano le scorciatoie e raramente pensano che un evento negativo come un attacco informatico possa accadere a anche loro. Questo fatto li rende un obiettivo primario per la manipolazione, da parte di un hacker determinato a entrare nella rete aziendale. Il 22% delle violazioni nel 2019 è stato supportato da errori umani (Verizon).
Nessuna azienda è immune dal rischio del fattore umano. Sebbene ci siano infiniti modi per ingannare le persone, la tattica che sembra godere della maggiore percentuale di successo è l'uso di informazioni personali che si riferiscono ai desideri umani di base come lo status, il denaro e il sesso.
Nel 2020, l'aumento dello smart-working innescato dal Covid-19 ha portato a una crescita vertiginosa delle violazioni della sicurezza. La sicurezza è più difficile da far rispettare a casa delle persone e le reti Wi-Fi domestiche sono molto più difficili da controllare per le aziende. I membri della famiglia che vivono sotto lo stesso tetto, così come gli ospiti in visita, sono nuove fonti di minacce che devono essere prese in considerazione. Qualsiasi dispositivo sulla rete Wi-Fi domestica può essere utilizzato per attaccare e qualsiasi visitatore può essere una minaccia.
Inoltre: "L'improvviso passaggio al lavoro da casa e un clima globale di stress e preoccupazione sono un terreno fertile perfetto per un attacco informatico di successo. Il fatto che solo un quarto delle aziende abbia fiducia nella propria strategia di lavoro a distanza è scioccante e dimostra che esiste molto lavoro da fare per garantire il lavoro da casa ".
Secondo uno studio di IBM, l'errore umano è la causa principale del 95% delle violazioni della sicurezza informatica. Quando si parla di errore umano nella sicurezza informatica, il significato del termine è leggermente diverso dal suo uso in termini più generali. In un contesto di sicurezza, errore umano significa azioni non intenzionali - o mancanza di azione - da parte di dipendenti e utenti che causano, diffondono o consentono il verificarsi di una violazione della sicurezza. Ciò comprende una vasta gamma di azioni, dal download di un allegato infetto da malware al mancato utilizzo di una password complessa, il che è parte del motivo per cui può essere così difficile da affrontare. Come se questo non bastasse, l'ingegneria sociale ha un ruolo crescente in tutti i tipi di violazioni della sicurezza e viene utilizzata per sfruttare la capacità dei dipendenti di consegnare dati o credenziali direttamente nelle mani di malintenzionati senza che questi debbano scrivere una singola riga di un programma malware o di un exploit software.
Sebbene le possibilità di errore umano siano quasi infinite, possono essere classificate in due diversi tipi: errori basati sulle abilità e basati sulle decisioni. La differenza tra questi due dipende essenzialmente dal fatto che la persona avesse o meno le conoscenze necessarie per eseguire l'azione corretta. ecco perchè la formazione cyber per tutti i dipendenti è sempre più cruciale.
Errori basati sulle abilità: L'errore umano basato sulle abilità è costituito da scivoloni e cadute: piccoli errori che si verificano durante l'esecuzione di compiti e attività familiari. Ciò potrebbe accadere perché il dipendente è stanco, non presta attenzione, è distratto o ha un breve intervallo di memoria.
Errori basati sulla decisione: Gli errori basati sulla decisione si verificano quando un utente prende una decisione errata. Spesso l'utente non ha il livello di conoscenza necessario, non ha abbastanza informazioni sulla circostanza specifica, o non si rende nemmeno conto che sta prendendo una decisione attraverso la sua inazione.
L'errore umano può compromettere la sicurezza della tua azienda in un numero quasi infinito di modi diversi, ma alcuni tipi di errore si distinguono per frequenza su tutti gli altri.
Errata consegna: La mancata consegna, ovvero l'invio di qualcosa a un destinatario sbagliato, è una minaccia comune alla sicurezza dei dati aziendali. Con molte persone che fanno affidamento su funzionalità come il suggerimento automatico nei loro client di posta elettronica, è facile per qualsiasi utente inviare accidentalmente informazioni riservate alla persona sbagliata se non stanno attenti.
Problemi con la password: Gli esseri umani e le password semplicemente non vanno d'accordo. I fatti del rapporto del 2019 del National Center for Cyber Security gettano un'immagine terribile: 123456 rimane la password più popolare al mondo e il 45% delle persone riutilizza la password del proprio account di posta elettronica principale su altri servizi.
Patch: I criminali informatici sono costantemente alla ricerca di nuovi exploit nel software. Quando vengono scoperti gli exploit, gli sviluppatori di software corrono per correggere la vulnerabilità e inviare la patch a tutti gli utenti prima che i criminali informatici possano compromettere più utenti. Questo è il motivo per cui è essenziale che gli utenti installino gli aggiornamenti di sicurezza sui propri computer non appena sono disponibili. Sfortunatamente, il più delle volte gli utenti finali ritardano l'installazione degli aggiornamenti e con risultati disastrosi.
Errori di sicurezza fisica: Sebbene le violazioni dei dati siano spesso attribuite ad attacchi informatici, le aziende sono anche soggette a minacce fisiche e/o interne. Le informazioni riservate e le credenziali possono essere rubate da personale interno scontento o arrabbiato.
Con il tuo personale che lavora in remoto, mantenere i tuoi sistemi e dati aziendali al sicuro richiede un nuovo approccio. Zero Trust ti aiuta in modo più efficace. Impedisci alle minacce di spostarsi all'interno della tua rete, controlla l'utilizzo dei dati, non solo l'accesso, scopri continuamente chi sta creando rischi.
Con tecnologie innovative e ad approccio ZERO TRUST, mirate alla protezione degli end-point, quindi in grado di evitare l'errore del dipendente maldestro che clicca inavvertitamente su una email, file, foto, o pop-up criminale, la tua rete aziendale rimane sempre protetta. Per maggiori dettagli vedi: Deceptive Bytes
3 passaggi per proteggersi dal fattore umano
Prima di tutto investire nelle migliori tecnologie e soluzioni è essenziale, ma senza un programma di sicurezza strategico in atto che includa la consapevolezza e l'istruzione dei dipendenti, la tecnologia da sola non può proteggere dagli attacchi.
1. Rendere la formazione per la consapevolezza una parte integrante del programma di security. La formazione dovrebbe essere condotta periodicamente e resa obbligatoria per ogni persona che entra a far parte dell'azienda. Nonostante la formazione sulla consapevolezza alla cyber-security sia uno dei modi più efficaci per prevenire gli incidenti informatici, non è una priorità assoluta per molte aziende.
2. Adottare un approccio di difesa in profondità. Gli errori accadranno, è inevitabile. Il programma di sicurezza aziendale dovrebbe incorporare un approccio a più livelli. Questo approccio deve portare l’azienda ad essere in grado di recuperare dopo gli errori umani tenendo conto di una varietà di livelli, tra cui:
politiche di sicurezza delle informazioni
sicurezza fisica
sicurezza e sistemi di rete
programmi di vulnerabilità
misure di controllo delle risorse
protezione dei dati e backup
servizio di risposta agli incidenti
cyber assicurazioni
3. Valutare la sicurezza informatica dei fornitori di terze parti
Nel non tanto lontano 2017, il malware NotPetya, considerato l'attacco più devastante di sempre, si era fatto strada partendo dai server di una semplice società di software ucraina ai suoi clienti globali, paralizzando le loro operazioni e portando a costi stimati di 10 miliardi di dollari.
Oggi c'è una maggiore dipendenza da fornitori e fornitori di terze parti. Questa dipendenza, combinata con maggiori privilegi di rete e accesso alle informazioni, ha reso la valutazione della sicurezza dei fornitori di persone, tecnologia e processi, parte integrante di un efficace programma di cyber-security. Inoltre, è’ importante avvalersi di soluzioni adeguate e innovative in grado di controllare e monitorare gli accessi privilegiati
Ridurre il rischio informatico in tutta l’azienda con poche semplici linee guida
Ogni dipendente di un’azienda ha la responsabilità di mantenerla al sicuro. Il nostro consiglio è di seguire e condividere queste linee guida:
Separare in modo netto utilizzo personale di quello di lavoro.
Nessun riutilizzo della password
Evita di archiviare dati aziendali sensibili su servizi di cloud privato (ad esempio Dropbox), utilizza una soluzione aziendale
Nessun controllo dell'account di lavoro tramite un account personale (ad es. E-mail personale come account di backup)
Commenti al report
Discutendo i risultati del report "Cyberchology, the human element", Jake Moore, Cybersecurity Specialist presso ESET, ha dichiarato: "Il lavoro a distanza ha portato una maggiore flessibilità alla forza lavoro, ma ha anche modificato drasticamente i processi e i sistemi aziendali. sicurezza, l'improvviso passaggio al lavoro da casa e un clima globale di stress e preoccupazione sono un terreno fertile perfetto per un attacco informatico di successo. Il fatto che solo un quarto delle aziende abbia fiducia nella propria strategia di lavoro a distanza è scioccante e dimostra che esiste molto lavoro da fare per garantire il lavoro da casa ".
John Hackston, Head of Thought Leadership presso The Myers-Briggs Company, ha commentato: "La sicurezza informatica è stata a lungo considerata una responsabilità dei soli reparti IT, ma al fine di costruire una strategia di sicurezza informatica olistica che tenga conto del fattore umano, IT e risorse umane i reparti devono lavorare insieme. Utilizzando test psicometrici e strumenti di autoconsapevolezza, le risorse umane possono aiutare a identificare la composizione dei team e individuare potenziali vulnerabilità. I team IT possono utilizzare queste informazioni per creare protocolli di sicurezza completi e una strategia informatica proattiva per stare un passo avanti rispetto potenziali minacce. "
