Il vecchio adagio “una catena è forte quanto il suo anello più debole” viene regolarmente riproposto nelle discussioni sulla cybersecurity. Non potrebbe essere più appropriato, se non fosse che nella cyber-arena, ogni anello è rappresentato da un singolo dipendente. Questo fornisce svariate potenzialità di attacco per gli hacker, che tentano di approfittarne continuamente. Purtroppo, il passaggio al lavoro remoto di massa nel corso della pandemia ha trasformato un problema di vecchia data in una sfida ancora più grande per i team di cybersecurity che, ora che le imprese sono destinate ad adottare una miscela ibrida di lavoro da casa e ufficio per la maggior parte dei dipendenti, non può più essere ignorata poiché la posta in gioco è troppo alta.
La portata delle minacce interne
Anche se il numero dei dipendenti che attua comportamenti scorretti all’interno dell’ambito lavorativo risulta in aumento, il problema più grande riguarda in realtà i collaboratori dell’azienda stessa, che risultano molto spesso essere negligenti o disattenti. Gli esseri umani sono quelli che cliccano sui link, impostano le password, configurano i sistemi IT e codificano il software. Sono naturalmente inclini all’errore e possono essere manipolati dal social engineering. Quindi, naturalmente rappresentano un rischio informatico primario per le aziende e una grande opportunità per gli autori delle minacce. In un mondo ipotetico dove l’errore umano non esiste, è difficile immaginare un’industria della sicurezza informatica del valore stimato di 156 miliardi di dollari come quella odierna.
In che modo l’errore umano contribuisce al rischio di sicurezza? Vale la pena sottolineare alcune statistiche. Circa l’85% delle violazioni riscontrate lo scorso anno, ha coinvolto un elemento umano, secondo Verizon; quasi il 19% delle violazioni riguardava “errori vari”; circa il 35% delle violazioni ha fatto ricorso al social engineering; gli attacchi di phishing sono aumentati dell’11% dal 2020-21; quasi 2 miliardi di dollari sono stati persi l’anno scorso a causa di attacchi BEC (Business Email Compromise) in cui gli utenti vengono indotti a trasferire fondi aziendali al truffatore; i dispositivi smarriti rappresentano una minaccia importante ma non quantificata.
L’impatto finanziario di tali minacce è tema di dibattito. Si stima che una violazione interna in media sia costata alle organizzazioni globali quasi 11,5 milioni di dollari nel 2019, in aumento del 31% rispetto alle stime del 2017.
Come i cybercriminali stanno prendendo di mira i lavoratori da remoto
Con la pandemia sono arrivate nuove opportunità di attacco che vanno a colpire i singoli dipendenti. Quasi da un giorno all’altro, le organizzazioni sono passate da sistemi IT centralizzati protetti da policy, processi e tecnologie collaudate a una forza lavoro distribuita. Gli impiegati non solo usavano reti e dispositivi domestici potenzialmente insicuri, ma potevano anche essere più distratti dalla vita domestica, specialmente se coinvolti nella cura dei figli.
Anche lo stress ha giocato un ruolo potenzialmente chiave, aumentando il rischio di diffusione di minacce interne. Secondo un report ESET pubblicato l’anno scorso in collaborazione con gli specialisti di psicologia aziendale di The Myers-Briggs Company, il 47 per cento degli intervistati era molto preoccupato della propria capacità di gestire lo stress durante la crisi. I dipendenti stressati possono essere più propensi a farsi prendere dal panico e a cliccare su un link dannoso, o a non segnalare una potenziale violazione all’IT, avvertiva il report. Le lunghe ore di lavoro possono avere un effetto simile. I dati ufficiali dell’Ufficio delle statistiche nazionali del Regno Unito hanno rivelato che i lavoratori da casa nel 2020 sono stati alla loro scrivania per una media di cinque ore in più rispetto ai colleghi in ufficio.
Il report ESET ha rivelato risultati ancora più allarmanti: i CISO hanno riferito un aumento del 63% del crimine informatico dal primo lockdown; anche se l’80% degli intervistati aveva una strategia di lavoro remoto in atto, solo un quarto l’ha ritenuta efficace; circa l’80% ha sostenuto che l’aumento del rischio informatico causato da fattori umani è una sfida; l’80% delle aziende ha affermato che l’aumento del rischio di cybersecurity causato da fattori umani ha rappresentato una sorta di sfida.
Accanto al phishing, altre minacce derivanti dalla diffusione del lavoro ibrido includono:
RDP hijacking, che è usato sempre più spesso dai diversi attori che sferrano attacchi ransomware ed è facilitato da credenziali deboli o precedentemente violate; sistemi senza patch (ad esempio VPN, computer portatili); dispositivi WiFi e/o smart home senza password forti; uso di dispositivi condivisi, dove i conviventi dei dipendenti o i bambini visitano siti rischiosi e scaricano inconsapevolmente software potenzialmente dannosi.
Come rendere sicuro il posto di lavoro ibrido
Con un parziale ritorno in ufficio, si spera che alcune di queste sfide diminuiscano. Meno stress e isolamento possono avere un impatto positivo sulla riduzione del rischio. Ma c’è anche il rischio per il personale di replicare al lavoro le cattive abitudini apprese durante la crisi, favorendo lo sviluppo di un qualsiasi malware nascosto nei dispositivi. L’utilizzo di computer portatili sia a casa che al lavoro può anche aumentare il rischio di perdita o furto dei dispositivi e dei dati.
Tuttavia, ci sono precauzioni che i team di sicurezza possono prendere per ridurre al minimo i rischi associati al nuovo posto di lavoro ibrido. Tra queste ricordiamo: imporre l’uso di sistemi di autenticazione a più fattori (MFA) per tutti gli account e i dispositivi utilizzati per scopi lavorativi; richiedere di prassi che gli aggiornamenti automatici siano attivati per tutti i dispositivi; l’applicazione di password forti per tutti i dispositivi domestici, compresi i router; test psicometrici per aiutare a identificare dove esistono debolezze umane; controllo rigoroso dei fornitori e delle loro capacità di mitigare le minacce interne; strumenti di data loss prevention; segmentazione della rete; limitazione dei diritti di accesso in base al principio del privilegio minimo; approcci Zero Trust per limitare i danni che possono essere causati da incidenti insider; diffondere una cultura della sicurezza che porta i lavoratori, anche quelli che lavorano in remoto, a non creare situazioni di pericolo, difficilmente gestibili.
La gestione del rischio insider consiste nel cercare di proteggere l’anello più debole della vostra organizzazione. Solo con politiche e processi di best practice supportati dalla giusta tecnologia, c’è speranza per un posto di lavoro ibrido più sicuro.
A cura di Fabio Buccigrossi, Country Manager di ESET Italia
