Cyber Security Awareness: quando il fattore umano può ridurre il rischio di un attacco informatico
AWARENESS significa consapevolezza, ma qual è la connessione con il mondo della sicurezza informatica?
Molto spesso leggiamo dell’importanza di navigare su internet in modo “sicuro” e che essere consapevoli dei rischi che si corrono in rete è il primo modo per evitare di cadere vittima. Tuttavia rimane difficile riuscire a declinare la consapevolezza all’interno di un percorso che tocchi la vita privata e pubblica degli utenti.
La nascita del World Wide Web così come lo intendiamo noi è avvenuta nel 1991; da allora il mondo online è diventato sempre più parte della nostra quotidianità.
Se dobbiamo cercare qualche informazione utilizziamo internet, se dobbiamo prenotare una vacanza utilizziamo internet e addirittura, con la pandemia, anche aspetti quali le visite mediche sono state trasferite nel mondo virtuale e poi lo smart working e l’e-learning.
L’emergenza legata al Covid ha accelerato significativamente il processo di digitalizzazione, modificando i comportamenti degli utenti con una maggiore spinta verso la sfera digitale.
Questo spostamento ha portato ad un aumento dell’attività da parte dei cyber criminali e quindi ad un aumento complessivo del numero di attacchi informatici. Inoltre, è cresciuto non solo il numero degli episodi, ma anche la loro complessità, il grado di sofisticatezza e l’entità del loro impatto.
Secondo un Report di Check Point Research, nel 2021, in tutto il mondo gli attacchi informatici verso le aziende sono cresciuti del 40% rispetto al 2020; settimanalmente le aziende italiane ne subiscono mediamente 903 e hanno visto crescere la percentuale del 36%, rispetto al 2020.
Gli attacchi informatici sono veicolati per oltre il 90% da e-mail aziendali colpite da campagne di phishing che, con il passare del tempo, sono diventate sempre più sofisticate, inducendo in errore anche chi ha una certa esperienza.
Diventa quindi importante investire sulla consapevolezza degli utenti e indicare delle linee guida e best practice da adottare. Se infatti le aziende possono dotarsi di tutte le tecnologie più sofisticate, l’aspetto più importante rimane comunque la formazione degli utenti e la capacità di non cascare nei tranelli dei cyber criminali: è infatti il fattore umano l’anello debole della catena.
Molto spesso gli utenti non sono realmente consci della gravità che un impatto simile può avere nel breve e soprattutto nel lungo periodo.
Il motivo principale per cui un attacco informatico viene indirizzato ad un’azienda è per richiedere un riscatto; in particolare, si evidenza una tendenza al rialzo per il prezzo medio, che è passato dai 6.000$ nel 2018 fino agli 84.000$ nel 2019, mentre è di difficile stima il prezzo medio degli ultimi mesi sia per l’incremento dei numeri di attacchi informatici ma anche per l’utilizzo delle criptovalute che non permettono il tracciamento dei riscatti pagati.
Inoltre, ricordiamo che non è assolutamente detto che pagando il riscatto vengano restituiti all’azienda tutti i dati esfiltrati, motivo che può portare ad un aumento del danno economico per la risoluzione di un attacco informatico.
Ma quanto costa quindi all’azienda un attacco informatico andato a buon segno?
In genere l’impatto è sempre pesante: secondo il report di IBM, ogni violazione dei dati sulle organizzazioni costa all’azienda, in media, 3.86 milioni di dollari a livello globale e 2.90 milioni di euro se consideriamo la nostra nazione.
Come abbiamo detto, è il fattore umano il punto debole della catena, per questo adeguate misure di security awareness possono essere fondamentali per proteggere l’azienda. La consapevolezza degli utenti passa, prima di tutto, dalla formazione: formare il personale, infatti, ha un costo enormemente più basso rispetto al ripristino di un incidente informatico.
La maggior parte delle minacce proviene proprio dalla poca attenzione che le persone mettono nel compiere azioni di routine quali: l’utilizzo delle proprie credenziali, la navigazione non sicura o la poca attenzione nella gestione della posta elettronica. Sono solo pochi esempi ma che, da soli, coprono oltre l’85% delle cause di un incidente di sicurezza.
Best practice
La prima cosa importante da sottolineare è che non è possibile evitare al 100% un attacco informatico, ma esistono diverse azioni e best practice da mettere in atto per cercare di ridurre al minimo questo rischio.
Corsi di formazione
Aumentare la soglia di attenzione dei dipendenti attraverso training specifici è di fondamentale importanza per limitare il rischio e creare una maggiore consapevolezza della pericolosità che un attacco informatico può provocare, non solo all’azienda, ma anche al singolo individuo. La formazione deve essere continua e nell’arco di un lungo periodo, in modo da tenere sempre alta la sensibilità degli utenti sull’argomento.
Corsi personalizzati ed in lingua
Secondo la nostra esperienza, anche creare contenuti ad hoc in lingua può essere utile affinché il trasferimento della cultura in tema di sicurezza informatica sia appreso in maniera più diretta possibile. La personalizzazione in base al tipo di azienda, al livello di preparazione degli utenti è sicuramente un plus da considerare, soprattutto se l’azienda ha sedi al di fuori del territorio italiano. Al contrario, l’utilizzo di una piattaforma standardizzata, in cui vengono semplicemente condivise le nozioni, non può essere la soluzione ottimale, poiché manca la personalizzazione e soprattutto il confronto con esperti del settore, in grado di rispondere alle domande e ai dubbi degli utenti.
Bollettini settimanali
Settimanalmente è utile condividere con i propri dipendenti quelle che sono le campagne di phishing in atto, spiegare quali sono gli elementi per cui essere sospettosi e dare così alcuni strumenti che aiutino i dipendenti ad evitare di cadere vittima di campagne, anche in futuro.
Phishing Test
Una buona pratica consiste nel creare test ad hoc che simulano degli attacchi phishing per testare il livello di preparazione dei propri dipendenti. Queste campagne mirate sono del tutto innocue, ma risultano molto utili per fornire una fotografia del livello di vulnerabilità del fattore umano all’interno dell’azienda. I risultati ottenuti sono utili per capire come impostare i corsi di formazione, insistendo maggiormente sulle persone che hanno “abboccato” al tranello.
Analisi OSINT
Open Source Intelligence o OSINT sono ricerche di informazioni private appartenenti ad un’azienda o ad un singolo individuo che vengono fatte per capire l’esposizione dei dati disponibili su internet.
Partendo dal solo nome e cognome è infatti possibile impersonare un soggetto (sono molto comuni, tra gli altri, i casi di CEO fraud); inoltre, avendo a disposizione informazioni aggiuntive, come la data e il luogo di nascita, i cyber criminali possono rendere le comunicazioni ancora più credibili.
L’OSINT si rivela uno strumento estremamente utile ed efficace per investigare la presenza di informazioni e il rischio connesso al riutilizzo di tali dati a fini malevoli. Nel caso in cui invece la ricerca dovesse essere eseguita con finalità malevole si parla di Bad OSINT.
Dopo un’adeguata formazione, al contrario di quello che ci si potrebbe aspettare, gli utenti dovrebbero essere in grado di riconoscere i diversi casi di ingegneria sociale e quindi, seguendo le procedure e policy interne dell’azienda, riportare un maggior numero di incidenti direttamente al dipartimento IT. Questo potrebbe essere un modo utile per misurare se le best practice seguite sono servite agli utenti a familiarizzare con il tema, a riconoscere campagne di phishing ed evitare di caderne vittima.
Negli ultimi mesi sta cambiando anche l’approccio delle aziende verso il concetto di cyber security awareness: sono infatti le stesse organizzazioni che, in seguito al costante aumento di attacchi subiti (il numero di attacchi rilevati nel 2020 segna un aumento del 29% rispetto alla media degli attacchi per anno del triennio precedente), stanno investendo sulla formazione erogata ai propri dipendenti.
Secondo il report che abbiamo stilato in collaborazione con Statista, è stato osservato che per molti intervistati (42%), queste minacce si sono verificate almeno una volta al mese, mentre il 31% ha subito almeno due attacchi al mese e solo il 4% degli intervistati ha subito in media più di tre attacchi al mese. Il restante 15% non ha assistito a una minaccia nell’ultimo anno e ciò potrebbe essere dovuto al fatto che alcune aziende semplicemente non erano a conoscenza degli attacchi accaduti loro.
Infine, vogliamo ricordare che nella cybersecurity non ci si improvvisa: agire sul fattore umano e creare una cultura sulla difesa informatica è solo il primo passo per una protezione efficace contro il cyber crimine, che deve poi proseguire con l’analisi e la gestione dei rischi da parte di specialisti del settore che, con l’utilizzo di strumenti a loro disposizione, saranno in grado di ridurre l’esposizione ai cyber rischi.
Parte della nostra missione consiste proprio nell’agire e nel creare una consapevolezza negli utenti dei clienti tramite le best practice descritte. Se sei interessato visita il nostro sito e contattaci.