Sensibilizzazione, esercitazioni pratiche, verifiche sul campo, controllo costante, gestione della crisi accuratamente pianificata sono fondamentali

Data breach: software obsoleti aumentano i danni del 53%

Arrivo presto in azienda e per dare il buon esempio ai miei dipendenti posto la mia posizione su Facebook con la foto dei documenti su cui sto lavorando. Alle 12 avrò un importante meeting che aggiungerò alle mie attività su LinkedIn. Pasto veloce al mio “solito posto” e foto di quei deliziosi gamberetti. Fine lavoro e via: il mio personal mi aspetta. Corsetta guidata dall’app che monitora i miei spostamenti e i chilometri percorsi e arrivo finalmente al campo di golf. Foto di rito su Instagram. Cena in famiglia con video divertente per TikTok, i ragazzi lo amano tanto.

Il mattino dopo nel Linkedin trovo notizie e commenti sul caso di Easyjet: “La compagnia ha rivelato un’enorme violazione dei dati che ha interessato 9 milioni di clienti e che ha coinvolto oltre 2.000 dettagli di carte di credito. I clienti interessati di easyJet saranno contattati dal vettore entro e non oltre il 26 maggio. Il Garante per la privacy inglese (l’ICO) ha consigliato alla compagnia aerea di rivelare la violazione a causa di un aumento del rischio che i clienti interessati potessero essere presi di mira dagli attacchi di phishing”.

Ecco: un’altra volta. Pazienza, ormai dobbiamo farcene una ragione.

Passano alcune settimane e le unità delle Forze dell’Ordine dedicate alla prevenzione del crimine informatico avvisano la mia azienda, me stesso e molti colleghi in merito ad un significativo furto di dati, le cui evidenze hanno potuto trovare in messaggi scambiati tra cyber criminali nelle parti meno accessibili del web: il dark web.

I dati rubati sono contratti dell’azienda, piani commerciali, alcune informazioni confidenziali sui nostri prodotti proprietari, ma anche foto nostre, dei nostri uffici, delle nostre case.

Apprendiamo un fatto raccapricciante: i cyber criminali hanno incrociato e usato sia informazioni su di noi, provenienti dal “data breach” di EasyJet, sia quelle che si possono trovare nelle “esternazioni social” mie e dei colleghi.

Ecco come è andata. Sia io e i miei colleghi, come singole persone, sia la nostra azienda, siamo stati oggetto di due diversi crimini: ricatto e phishing. Alcuni colleghi sono stati prima vittima di un pesante “dossieraggio” di informazioni personali, in particolare quelle pubblicate sui Social: i criminali le hanno poi analizzate ed hanno scoperto che alcune persone erano in un momento di difficoltà personale e famigliare, in corso già da tempo e aggravato dal Covid. Purtroppo hanno poi sfruttato queste informazioni per sfruttare i loro punti deboli e ottenere accesso ad informazioni aziendali. Altri colleghi sono comunque stati “dossierati”, ma per fortuna non hanno subito nessun approccio diretto e ricattatorio dai criminali; ma la fortuna si è fermata a quel punto: l’insieme delle informazioni personali nei dossier e quelle in teoria segrete rubate a easyJet è stato usato per inviare mail perfettamente confezionate per ognuno di loro, purtroppo per ingannarli e quindi per rubargli le password di accesso ai sistemi aziendali.

L’inizio di questa storia potrebbe sembrare il racconto standard di una giornata tipo di un uomo medio italiano, in realtà è stato lo stesso protagonista a svelare la propria identità digitale, fornendo dettagli, posizioni, luoghi che frequenta, informazioni delle persone con cui lavora e addirittura sui suoi figli.

“Questi dati nel momento in cui entrano in rete non possono più uscire, restano intrappolati in un sistema a disposizione di chiunque, malintenzionati compresi – spiega Francesco Faenzi, Direttore della BU Digital Trust di Soft Strategy Group. I danni del web spesso sono irreversibili, a questo si deve pensare quando si introduce su Internet anche quella che può sembrare una foto e null’altro. Bisogna usare i social network in maniera responsabile e pensare che stiamo consapevolmente esponendo delle informazioni che riguardano la nostra identità digitale, oltre che mostrare semplicemente il meeting al quale si sto partecipando. La prevenzione è fondamentale.”

Le tecnologie digitali e internet creano nuovi modi e forme di comunicazione, condivisione della conoscenza, intrattenimento, studio, fare amicizia ed esperienze, ma d’altra parte amplificano l’esposizione ai rischi dell’Identità Digitale con cui tutti ci presentiamo nel mondo digitale e connesso: i danni conseguenti però non sono limitati alla sfera virtuale, ma impattano anche la sfera personale, familiare, reputazionale ed economica o aziendale. L’Identità Digitale è la nostra identità. Esponendola incautamente la mettiamo a rischio insieme al resto delle attività che interessano la nostra sfera: famiglia, lavoro, azienda.

“L’intervento da mettere in atto – spiega ancora Francesco Faenzi – è ovviamente la gestione delle crisi di sicurezza, ma con l’attenzione che avvenga in modo integrato in una più ampia gestione delle crisi del business, della reputazione e della comunicazione. Ciò non toglie che al di là del momento di crisi, occorrano una strategia ed un programma esecutivo di tutela dell’identità digitale, sviluppato però ad ampio raggio: bisogna infatti pensare esattamente come fa chi minaccia le aziende, ovvero considerando l’identità ed il profilo personale ed aziendale come un tutt’uno al fine di un obiettivo criminale. Nel concreto politiche e regole chiare e anche istruttive sull’uso di tutto i mezzi digitali – siano essi aziendali o personali o “consumer” – e poi sensibilizzazione, esemplificazione ed esercitazioni pratiche, verifiche sul campo, controllo costante, piani accuratamente preparati e non improvvisati di gestione della crisi (inclusiva degli aspetti di comunicazione) e di rientro dalla stessa.”

Si pensi al caso di un’azienda italiana già in difficoltà operativa causa Covid19 – spiega Alessandro Rossetti, Intelligence Team Leader in Soft Strategy – che subisce anche un attacco nato dallo sfruttamento da parte dei cybercriminali dell’insieme delle informazioni personali che i dipendenti pubblicano su Internet e dall’arricchimento e estrema personalizzazione di queste con i dati rubati ad esempio alla easyJet. La crisi operativo-informatica si aggiungerebbe alla crisi di business generale, che in questo momento più che mai va assolutamente evitata.”

I rischi e i danni sono tanto più eclatanti, quanto più è attrattiva la vittima di un criminale, ad esempio: imprenditori, top manager e altre key people delle nostre aziende. E tutto questo è purtroppo un rischio in aumento continuo in questi tempi in cui siamo tutti sempre connessi, l’assuefazione da digitale aumenta e il livello di attenzione ai rischi diminuisce.