Secondo il nuovo report Beyond the Phish 2019 di Proofpoint, che ha analizzato i dati relativi a circa 130 milioni di domande sulla sicurezza informatica gli utenti finali abboccano ancora alle tecniche di phishing usate dagli hacker.
I principali risultati dello studio sulla formazione di sensibilizzazione alla sicurezza includono quanto segue:
- In generale, a una domanda su quattro nelle categorie “Identificazione delle minacce di phishing” e “Protezione dei dati in tutto il loro ciclo di vita” è stata data una risposta errata.
- Quello della comunicazione è risultato il dipartimento con i migliori risultati, poiché gli utenti finali hanno risposto correttamente all’84% delle domande.
- Il settore con i migliori risultati è stato quello della Finanza, poiché gli utenti finali hanno risposto correttamente all’80% delle domande.
- Servizio clienti, Strutture e Sicurezza sono stati tra i dipartimenti peggiori, poiché gli utenti finali hanno risposto in modo errato a una media del 25% di domande sulla sicurezza informatica.[1]
- Gli utenti finali nei settori della Formazione e Trasporti sono quelli che hanno incontrato le maggiori difficoltà, rispondendo in modo errato al 24% delle domande in tutte le categorie.
- Gli utenti finali nel settore Assicurazioni sono quelli che hanno conseguito risultati migliori in 3 delle 14 categorie analizzate, eccellendo in particolare nella categoria “Evitare gli attacchi di ransomware”.
- I dipendenti del settore Alberghiero hanno ottenuto il punteggio più basso in 3 categorie, tra cui “Rischi per la sicurezza fisica”, nella quale hanno risposto in modo errato al 22% delle domande.
Perché andare “oltre il phishing”
Il phishing rimane una delle principali preoccupazioni per le aziende in tutto il mondo. Come abbiamo indicato nel nostro report State of the Phish 2019, l’83% delle aziende globali ha subito attacchi di phishing nel 2018, sottolineando l’urgenza di educare gli utenti finali.
Tuttavia, gli attacchi via email non sono l’unica fonte di rischio per l’utente finale di un’azienda. Per esempio:
- Comportamenti poco attenti sui social media possono rivelare dettagli importanti che i criminali informatici possono sfruttare per creare e lanciare una varietà di attacchi social mirati e plausibili, tra cui phishing, vishing (phishing vocale), smishing (SMS/phishing di testo) e campagne di violazione delle email aziendali (BEC).
- Procedure per la gestione dei dati e la sicurezza fisica poco attente possono portare a violazioni e perdita o furto di informazioni riservate o proprietarie.
- Cattive abitudini in materia di password possono portare a violazioni delle credenziali e fornire agli aggressori accesso ai sistemi e ai dati dell’azienda.
- La mancanza di consapevolezza può trasformare i dipendenti in minacce interne non intenzionali.
Molte aziende fanno affidamento su attacchi di phishing simulati e/o esercizi formativi insoliti per valutare le vulnerabilità degli utenti finali e insegnare buone pratiche per la sicurezza informatica. I criminali informatici hanno ampliato il loro approccio agli attacchi verso l’utente finale, per cui un’attenzione limitata a certi componenti di protezione attiva non è sufficiente per preparare correttamente gli utenti a identificare le minacce e modificare i comportamenti che possono compromettere la sicurezza al lavoro e nelle loro vite personali.
“Le aziende devono essere costanti e accurate nei loro programmi di formazione di sensibilizzazione alla sicurezza, considerando i comportamenti degli utenti finali che influenzano e influiscono sui comportamenti di sicurezza complessivi. Questo report annuale reitera la necessità di andare oltre l’utilizzo dei test di phishing per valutare la vulnerabilità dell’utente finale e la conoscenza delle minacce informatiche”, ha affermato Amy Baker, vice presidente Security Awareness Training Strategy and Development di Proofpoint.
“È importante ricordare che non tutti gli incidenti di sicurezza derivano da un attacco; molti problemi scaturiscono da una conoscenza limitata e da procedure di sicurezza mediocri. La nostra ricerca ha mostrato un aumento significativo dei comportamenti sicuri quando le aziende adottano un approccio costante e ben gestito alla formazione per tutti gli argomenti informatici”.
[1] Definizione dei dipartimenti come indicata da coloro che hanno risposto. Per esempio, il dipartimento della sicurezza potrebbe includere sia la sicurezza fisica che la sicurezza informatica.
