Fondamentale la formazione sulla consapevolezza della sicurezza e training specifici su come proteggersi

Ransomware e phishing: cosa ci ha insegnato la pandemia?

Non c’è dubbio l’ultimo anno si sia rivelato particolarmente vantaggioso per i criminali informatici, che non hanno esitato a cogliere l’opportunità di utilizzare l’emergenza mondiale che stiamo vivendo a loro vantaggio. Infatti, a livello globale nel 2020, le organizzazioni hanno visto un aumento di ransomware e phishing – e circa due terzi hanno subito un attacco di successo.

Sarebbe sbagliato attribuire la colpa solo alla pandemia e alle minacce IT correlate, ma non si può negare che hanno certamente giocato un ruolo importante. I cyber criminali non hanno perso tempo, lanciando migliaia di esche legate a COVID-19 che hanno preso di mira utenti forse ancor più vulnerabili del solito.

Secondo il nostro ultimo report State of the Phish, l’82% delle organizzazioni intervistate ha portato la maggior parte dei dipendenti a lavorare da casa a seguito della pandemia, cosa che ha portato con sé da subito una serie di problemi, alcuni dei quali presenti ancora oggi.

La preparazione organizzativa per il lavoro da remoto non è stata affatto immediata e molte aziende hanno aumentato la formazione sulla consapevolezza della sicurezza, con risultati positivi, offrendo anche training specifici su come proteggersi mentre si lavora da casa.

Si potrebbe considerare questa formazione aggiuntiva una buona notizia, ma la realtà non lo è altrettanto. Non dovrebbe essere necessaria una crisi globale perché le aziende diano priorità alla consapevolezza della sicurezza. Per essere efficace, la formazione sulla cybersecurity deve avvenire regolarmente, adattandosi continuamente per affrontare le minacce del momento e deve essere una parte centrale del programma di sicurezza di un’azienda, tutto l’anno.

L’impatto della pandemia sulla cybersecurity

I cyber criminali hanno trascorso gran parte del 2020 approfittando dell’interesse naturale alla pandemia. Per quanto riguarda il phishing, la combinazione di messaggi a tema e della distribuzione di massa di attacchi è stata qualcosa di mai visto prima dal nostro team di threat research.

Le tattiche sono cambiate nel corso dell’anno, ma l’obiettivo è rimasto lo stesso. Alcuni offrivano cure, altri promettevano test veloci e accesso prioritario ai vaccini, molti incoraggiavano le vittime a consegnare preziose credenziali.

La pandemia è stata solo uno dei fattori sfruttati dai cyber criminali, che hanno approfittato anche di un momento di notevole complessità e distrazione causato da lavoro e didattica a distanza e stress che hanno reso gli utenti più inclini all’errore – e più vulnerabili agli attacchi.

Molte aziende, consapevoli del rischio elevato, hanno effettuato corsi specifici focalizzati su COVID-19, con effetti positivi: l’80% ha confermato una riduzione della suscettibilità al phishing.

Questo successo mette in evidenza l’inadeguatezza della formazione sulla sicurezza al di fuori, o forse precedente, la pandemia, ma se i training dedicati funzionano, perché non sono molto più utilizzati?

Consapevolezza sulla sicurezza. A che punto siamo.

Il 98% delle aziende ha in atto un programma di formazione, tuttavia c’è una sostanziale differenza tra l’esecuzione di un training sulla sicurezza e quella di un efficace training sulla sicurezza.

Come ci hanno dimostrato i temi legati a COVID-19 usati nel phishing, non è sufficiente insegnare agli utenti che esiste una minaccia, ma è necessario che imparino a conoscerla nel contesto dei metodi di attacco del mondo reale. Quando la consapevolezza di rischi specifici e rilevanti aumenta, il comportamento può iniziare a cambiare, ma serve coinvolgere i dipendenti nel programma per incentivare una cultura della sicurezza.

Purtroppo, questo livello di formazione è raro, solo il 64% delle organizzazioni conduce sessioni di training formale, virtualmente o di persona. Per quasi due terzi, non più di quattro volte all’anno, mentre il 36% forma gli utenti di determinati livelli o dipartimenti.

Dati come questi dovrebbero far suonare un campanello d’allarme. Sappiamo che i criminali informatici prendono di mira sempre più i singoli utenti e non le infrastrutture. Non fornire a questi individui le conoscenze per rilevarli e scoraggiarli è rischioso e, nel peggiore dei casi, negligente.

Le best practice devono diventare lo standard

La risposta agli attacchi di phishing legati alla pandemia ha dimostrato che una formazione sulla consapevolezza della sicurezza pertinente, mirata e contestualizzata, funziona.

Le aziende dovrebbero ora applicare questa esperienza per implementare programmi di formazione a lungo termine al fine di modificare attivamente i comportamenti a rischio, focalizzandosi sull’individuo e adattandosi alle minacce attuali del mondo reale.

Questo è possibile solo mettendo gli utenti al centro della protezione, per creare una cultura della sicurezza in cui le persone siano consapevoli di come semplici comportamenti possano mettere a rischio l’organizzazione e sappiano come prevenire, rilevare e scoraggiare gli attacchi IT.

A cura di Adenike Cosgrove, Director, International Product Marketing, Proofpoint