L’adozione del GDPR 679/2016 (Privacy) ha prodotto un graduale impatto positivo sulle PMI, facendo crescere negli imprenditori la consapevolezza della vulnerabilità della propria azienda nei confronti delle minacce informatiche.
Questa consapevolezza sta portando verso in incremento degli investimenti per la protezione dalle minacce esterne, per l’adozione di sistemi e strumenti più performanti ma solo in misura nettamente inferiore per la formazione del personale interno.
Purtroppo, nella maggior parte dei casi, sta proprio qui il punto debole: è il dipendente stesso dell’azienda a rappresentare una minaccia informatica per le aziende, trattandosi di qualcuno che possiede una notevole abilità, anche se involontaria, nelle arti di hacking e una grande facilità di accesso ai sistemi aziendali.
Minacce interne all’azienda
Circa il 95% delle minacce che si trovano ad affrontare le aziende dipende dalle azioni dei propri dipendenti. Il trend non tende a diminuire: anche nel 2019 l’errore o la negligenza del dipendente è al primo posto tra i rischi per la sicurezza informatica aziendale. La percentuale può variare in funzione degli studi o dei campi di applicazione ma alla fine il risultato non cambia.
La minaccia alla sicurezza aziendale da parte del dipendente non è limitata esclusivamente al tempo che viene passato in azienda ma prosegue per tutto l’arco della giornata e negli ambiti più disparati.
Chi vuole superare la protezione aziendale può operare in molti modi: può recuperare facilmente i dati di accesso ai servizi aziendali introducendosi nei dispositivi personali dei dipendenti; può acquisire informazioni riservate attraverso tecniche di social engineering che sfruttano le tracce che lasciamo in giro sulla Rete; può banalmente frugare tra i rifiuti cartacei gettati senza azione preventiva.
Le tecniche di hacking si evolvono in continuazione e perseguono obiettivi diversi: arrecare un danno immediato all’infrastruttura e ai servizi IT, acquisire informazioni sensibili da usare a fini di lucro o per spionaggio industriale. La tipologia di danni è praticamente infinita e lo è ancora di più se si tiene conte del fatto che un hacker che si è introdotto all’interno dei sistemi aziendali può rimanere silente e attendere di intercettare informazioni utili ai suoi fini.
Errori da evitare
Analizzando gli errori e le leggerezze più comuni dei dipendenti aziendali, ci renderemo conto che mediamente la cultura relativa alla sicurezza informatica del dipendente medio è ancora a livelli molto bassi. Di seguito un breve elenco degli errori più comuni.
- Usare password banali: quando si pensa ad una password si dovrebbe pensarla come se fosse la chiave della propria auto o della propria casa, nessuno di noi metterebbe un chiavistello senza lucchetto a protezione dei propri beni, vale lo stesso per la password per accedere ai sistemi. “123456789” non è la password più sicura del mondo come non lo è la propria data di nascita, o il nome dei figli o del coniuge, e, purtroppo per i più eruditi nono lo è neanche la serie di Fibonacci, la conoscono tutti.
- Usare sempre la stessa password: è il modo migliore per far si che bucato un sistema si possa accedere a tutto.
- Condividere le password con i colleghi: questa pratica oltre ad essere poco sicura di per se contribuisce a creare indeterminatezza su chi possa essere l’autore della violazione.
- Scrivere le password: su post-it, su agende tenute nel primo cassetto della scrivania, sotto la tastiera… Scrivere la password e tenerla a portata di mano non è certo la soluzione più sicura.
- Lasciare incustoditi Pc e smartphone senza blocco: questa è una delle azioni più pericolose da effettuare paragonabile all’uscire di casa lasciando porte e finestre spalancate.
- Uso di software e app non aziendali: con l’utilizzo di computer e dispositivi mobili personali per il lavorativo il responsabile della sicurezza aziendale ha perso definitivamente il controllo sull’ambiente applicativo e quindi non può verificare direttamente che applicazioni vengono utilizzare ed in che modo.
- Utilizzare Usb drive non verificati: non è possibile stabilire cosa sia realmente contenuto in un usb-drive, l’ideale sarebbe non utilizzare in modo promiscuo, pubblico privato i dispositivi usb, peggio ancora utilizzarne una trovata per caso.
- Collegarsi a reti WiFi non sicure: la mobilità del lavoro porta spesso ad utilizzare reti pubbliche, o disponibili, sono ovunque, ma non possiamo mai sapere cosa può essere veicolato mediante quelle reti.
- Antivirus: nelle aziende dovrebbero essere presenti sempre e comunque antivirus, meglio ancora se opportunamente e frequentemente aggiornati, non sempre gratis è meglio.
- Phishing: il metodo più utilizzato per accedere ai sistemi aziendali è quello di inviare una mail di phishing, in questi casi è compito di chi riceve la mail verificare che sia sicura, come? Probabilmente non vinciamo tutti i giorni telefonini, premi, crociere quindi se ci arrivano mail che annunciano ciò possiamo evitare di aprirle, più seriamente dobbiamo sempre prestare attenzione a cosa c’è scritto dopo la @nell’indirizzo mail, in questo modo evitiamo la maggior parte dei problemi.
- Utilizzo di mail non aziendali: Secondo una ricerca il 52% dei dipendenti aziendali usa, oltre all’indirizzo aziendale, anche l’indirizzo personale per il lavoro, inoltre spesso al lavoro si consultano anche le mail personali sui devices aziendali, questo lascia delle porte aperte a chiunque voglia entrare limitando il lavoro de i responsabili della sicurezza aziendale.
- BYOD (Bring your own device in italiano: porta il tuo dispositivo): fa riferimento alla pratica che permette di utilizzare i dispositivi personali per il lavoro. Questa pratica, sempre più diffusa, non permette di verificare la sicurezza dell’utilizzo dei dispositivi e quindi espone i sistemi aziendali a notevoli rischi.
- WhatsApp, Telegram ecc.: l’utilizzo di questi strumenti è sempre più frequente in ambito lavorativo perché permettono una comnicazione immediata ed efficace, il problema è che sono ad uso promiscuo privato ed aziendale e che spesso in questo modo vengono anche scambiati documenti e non si è mai certi di come verranno gestiti e trattati.
- Danno volontario: un dipendente infedele è quanto di più pericoloso ci possa essere in un’azienda, il mancato controllo dei dispositivi utilizzati e l’accesso libero a device o sistemi privati (google drive, onedrive,…) dalla reta aziendale espone l’azienda a rischi inutili.
=> Sicurezza IT: guida alle minacce
Questa lista, per quanto lunga, non è esaustiva ed ha lo scopo di sensibilizzare le aziende e il personale che in queste opera su un ambito che spesso è sentito lontano, un “problema di altri” (per la serie: “noi non siamo la NASA, chi vuoi che cerchi i nostri dati?). In un mondo in cui i dati rappresentano il vero tesoro aziendale non ci si può più permettere di sottovalutare queste problematiche.
Per approfondimenti: c.montesi@