L’INSIDER THREAT MINACCIA TRA PRIVACY E CYBERSECURITY

Dispositivi tecnologici e software informatici consentono oramai di essere connessi 24 ore su 24 alla rete e permettono l’accessibilità ai file aziendali sempre e dovunque, ma non solo, tali dispositivi consentono oggi di condividere e scambiare informazioni in tutto il globo.

Secondo i dati istat continua ad aumentare la quota di imprese con almeno 10 addetti che accede a Internet utilizzando connessioni veloci, di cui il 41% con connessioni ad almeno 30 Mbps (13,5% nel 2015), il 13,8% quelle ad almeno 100 Mbps (6,2%).

Inoltre, il 16,1% delle imprese manifatturiere ha un livello di digitalizzazione alto o molto alto. Sulla base di nuovi indicatori risulta che, a profili di digitalizzazione più evoluti delle imprese, si associa in media un livello di produttività del lavoro più elevato.

Nell’ambito privato viene rilevato che in Italia il 76,1% delle famiglie dispone di un accesso a Internet di cui il 74,7% di una connessione a banda larga.

Ed è inoltre importante notare come questi dati si riferiscano al periodo pre-pandemia, in assenza di una fotografia ufficiale attuale si deve comunque a ragione supporre un forte aumento di questi indici dovuti alle necessità contingenti dettate dal Covid e dalla digitalizzazione “forzata” dei processi sociali e lavorativi. 

Dal risultato di queste analisi è ormai chiaro che l’accessibilità alla rete, lo scambio e la condivisione di informazioni è alla portata di tutti, privati e aziende, ma soprattutto è usufruibile in ogni luogo e tempo.

Questa evoluzione ha reso necessaria l’adozione da parte delle aziende di nuove strategie di security al fine di proteggere i dati, la loro disponibilità, l’integrità e la riservatezza affinché si possa garantire la continuità dell’utilizzo degli impianti aziendali e dei relativi servizi.

Attualmente il know-how di un’azienda passa anche il per il suo sistema informatico così come la mole di dati sensibili in esso contenuto ne va a costituire il patrimonio.

Per essere attuali, quindi, bisogna porsi una domanda: le aziende sono realmente in grado di proteggere il proprio sistema informatico da fonti di pericolo interne e/o esterne? E a quali si dovrebbe fare più attenzione?

Ecco perchè una delle più pericolose minacce per un’organizzazione è l’Insider Threat. Questa è una minaccia interna gravemente dannosa che può provenire da persone che operano all’interno dell’organizzazione, da dipendenti, ex dipendenti, appaltatori o soci in affari, i quali dispongono di accessi ad informazioni privilegiate relative ai sistemi informatici dell’organizzazione ai dati e alle pratiche di sicurezza, tali da poter eludere i sistemi aziendali. Le aziende sono certamente consapevoli del problema, ma raramente dedicano le risorse o l’attenzione esecutiva necessaria per risolverlo.

Nel 2018 l’attuazione di due direttive europee, la Direttiva 2016/679 (GDPR) per la protezione della privacy e la Direttiva (UE) 2016/1148 (NIS – Network and Information Security) per la gestione degli incidenti di sicurezza informatica e la relativa comunicazione verso terzi, ha imposto alle aziende di adottare le procedure necessarie per compiere un importante passo verso la protezione dei dati e dei sistemi informatici.

Nonostante ciò le aziende si trovano a dover affrontare ancora la percentuale più alta del rischio legato alla violazione di un sistema informatico ovvero quella generata dai dipendenti, dove gli strumenti tecnologici ed informatici adottati dall’azienda non sempre riescono ad essere efficaci; pertanto risulta essenziale attuare un approccio innovativo di gestione del rischio nell’ambito del proprio sistema informatico che contempli sia gli aspetti tecnologici sia il fattore umano.

Non di minore importanza sono gli eventi legati ai Data Breach, ovvero la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di tali dati, con conseguenze economiche e reputazionali per l’azienda.

Tornando all’’Insider threat questo può distinguersi in quattro categorie a seconda dell’identità dell’attore e dal suo intento:

             1- Pedine – Pawns

Una pedina è un dipendente o un collaboratore che viene ingannato o costretto a eseguire un attacco permettendo agli aggressori l’accesso ai dati. Spesso le pedine vengono identificate e manipolate tramite schemi di social engineering o spear phishing, progettati ad hoc per ottenere delle informazioni sensibili. Ad esempio, gli utenti possono scaricare inconsapevolmente un malware o fornire credenziali tramite siti o comunicazioni contraffatti.

Case history di insider che coinvolge una pedina è l’incidente accaduto a Ubiquiti Networks: l’insider è caduto in un attacco di spear phishing e ha trasferito 40 milioni di dollari sul conto bancario di una falsa filiale. Lo ha fatto nella convinzione di eseguire gli ordini dei dirigenti senior.

             2- Personale Incompetente – Goofs

Alcuni insider sono gli addetti ai lavori che sono negligenti o eseguono deliberatamente azioni che possono essere dannose per l’azienda. Questi utenti peccano di superbia credendo che le politiche di sicurezza non si applichino a loro o che sappiano meglio di altri come mantenere protetti loro stessi e i sistemi aziendali.

Si stima che il 95% delle aziende abbia al suo interno utenti che tentano di aggirare i controlli di sicurezza imposti dalla stessa, come ad esempio la disattivazione dei blocchi popup, la sospensione dei programmi antivirus o l’archiviazione di dati sensibili in un archivio cloud non approvato.

             3- Collaboratori – Collaborators

Un collaboratore è un insider che sceglie di lavorare con aggressori esterni, come concorrenti o altri Stati nazionali. Questi utenti abusano dei loro privilegi, legittimati dalla loro posizione in azienda, per fornire informazioni e/o accesso a terze parti, in genere in cambio di vantaggi economici o personali.

Case history di insider-collaboratore è stato Dongfan “Greg” Chung, un insider che ha collaborato con il governo cinese. Chung è un ex ingegnere di origine cinese della Boeing, che ha raccolto segreti commerciali sul programma spaziale statunitense con l’intento di trasmettere queste informazioni alla Cina. È stato arrestato nel 2006 da agenti federali che hanno trovato presso la sua abitazione documenti sensibili e comunicazioni con funzionari cinesi. Chung è stato condannato nel 2010 per spionaggio economico a 15 anni di carcere.

             4- Lupi solitari – Lone Wolves

Un lupo solitario è un insider che lavora in modo indipendente per un proprio vantaggio o scopo. Questi utenti hanno spesso una conoscenza approfondita dell’organizzazione in cui operano e sanno come sfruttare i loro privilegi interni.

Case history: Edward Snowden, un ex dipendente della Central Intelligence Agency (CIA) degli Stati Uniti, è un esempio di lupo solitario. Snowden ha usato il suo privilegio di insider per agire come informatore, divulgando diversi documenti altamente secretati su programmi di intelligence, tra cui il programma di intercettazione telefonica tra Stati Uniti e Unione europea riguardante i metadati delle comunicazioni, il PRISM, Tempora e programmi di sorveglianza Internet.

Le minacce derivanti da un insider possono quindi comportare il furto di informazioni sensibili,  riservate o di grande valore economico, l’acquisizione della proprietà intellettuale o addirittura il sabotaggio di sistemi informatici.

Tutte queste azioni sono agevolate dal fatto che l’insider è già in possesso di credenziali/privilegi che legittimino il suo accesso a determinati dati.

La minaccia dell’utilizzo, della vendita o della semplice divulgazione di tali informazioni è uno dei maggiori problemi nell’ambito della sicurezza aziendale, oltre ad integrare una vera e propria violazione delle normative di riferimento. 

Per potersi difendere concretamente ed efficacemente da questi rischi le organizzazioni devono adottare un approccio innovativo e proattivo (privacy by desing e by default, secondo il principio dell’accountability) instaurando una proficua quanto necessaria collaborazione tra esperti in materia di privacy e protezione dei dati ed esperti di cybersecurity che sempre piu’ frequentemente devono lavorare di concerto per garantire un’effettiva protezione dei patrimoni informativi aziendali.

Se senti la necessità di aggiornare le procedure della tua azienda per proteggerti da minacce come l’insider threat non esitare a contattarci per una consulenza gratuita cliccando qui sotto