Tratto dallo speciale:

Industria 4.0 e cyber security aziendale

di Anna Fabi

Pubblicato 12 Gennaio 2016
Aggiornato 9 Febbraio 2018 10:41

logo PMI+ logo PMI+
Quando l’attacco ai dati aziendali arriva dall’interno ma in buona fede: scenari possibili e misure di prevenzione.

Se nel parcheggio aziendale un dipendente trovasse una chiavetta usb, nella maggioranza dei casi la curiosità lo spingerebbe ad aprirla, probabilmente dalla propria postazione di lavoro: pur trovandovi dentro solo documenti illeggibili, il semplice gesto di aprire i file potrebbe comportare l’infezione del computer creando una porta di accesso nel sistema informativo aziendale. Con questo illuminante esempio si apre il rapporto di Kroll “The Unusual Suspects” sulla cyber security nelle imprese.

=> Guida alla sicurezza dei dati in azienda

Secondo l’indagine, l’86% degli intervistati ritiene di non aver subito perdite o violazioni di dati. Insomma, a quanto pare non ci sono problemi su questo fronte! Eppure, incrociando i dati emersi durante le interviste lo studio sottolinea come: ¾ delle violazioni sono state commesse da un dipendente o fornitore; il 75% sono determinate dall’uso di dati aziendali portati fuori dal posto di lavoro; le imprese temono soprattutto di perdere i dati relativi ai clienti; 1/3 dei contratti delle imprese non presenta alcuna previsione e regolamentazione sui casi di violazione dei dati confidenziali.

=> Sicurezza: come proteggere i dati dai dipendenti

Un altro dato rilevante è che mentre molti pensano (probabilmente influenzati dai casi che hanno avuto grande effetto mediatico) che gli attacchi abbiano come obiettivo quello di provocare danni a Governi e grandi imprese, mentre in realtà più della metà si sono verificati per caso. Insomma, non sempre hacker mascherati in stanze buie ma molto spesso violazioni dall’interno dell’azienda.

Non solo, lo studio ha riscontrato che spesso le violazioni sono causate dai c.d. utenti privilegiati e dal personale di alto livello; chi ricopre ruoli apicali usualmente tende a seguire con meno diligenza le linee guida per la sicurezza dei dati (troppo occupati o inconsapevoli dei rischi). E non ci si riferisce solo a casi eclatanti (es: l’utilizzo dell’account personale da parte di Hilary Clinton per questioni di governo mentre prestava servizio come Segretario di Stato (risultava “più comodo”).

Un altro fattore di cui tener conto: la non esatta conoscenza dei dati aziendali. Il Rapporto sottolinea come sia necessario identificare i dati essenziali ed utilizzare efficacemente le proprie risorse; d’altra parte, sebbene l’88 % degli intervistati dichiari di conoscere il valore dei dati aziendali, soltanto il 17% sa dove tali dati sono memorizzati e il 33% non è sicuro se questi siano difesi da un adeguato livello di sicurezza.

Insomma, ancora una volta emerge come fattore determinate per la sicurezza cambiare il modo di pensare di dipendenti e manager, soprattutto quando cominciamo a parlare di industria 4.0. Particolarmente significativo è il commento di uno degli analisti, il quale sottolinea come le difese verso attacchi esterni possano essere eccellenti ma, se l’attacco arriva dall’interno (anche solo per scarse conoscenze o formazione) il danno subito dall’azienda potrebbe essere irreparabile. E’ vero gli attacchi esterni possono provocare danni rilevanti, ma le informazioni aziendali sono all’interno: in questo spazio sono moltissimi a potervi accedere e farne uso. Il problema non è il dipendente malintenzionato ma quello in buona fede, disattento o non preparato.

=> Policy aziendali: buone pratiche

Concludiamo riallacciandoci all’esempio iniziale: sulla chievetta usb incustodita, un’eventuale etichetta “bonus” permetterebbe l’accesso alla rete aziendale nel giro di due ore; quella “porn” in venti minuti; ciò a significare come moltissime situazioni dannose possano essere evitate e prevenute adottando semplici accorgimenti, tecnici (monitoraggio della rete aziendale, predisposizione di strumenti di prevenzione e identificazione, back up sicuri) e di policy aziendale (procedure, formazione, provisioning, ecc).

Per approfondimenti: rapporto Kroll The Unusual Suspects

________

Articolo a cura dell’Avv. Emiliano Vitelli