Le minacce interne non sono semplici da rilevare. Possono celarsi dietro colleghi che lavorano in ufficio, si collegano alla rete aziendale da un bar o forniscono servizi critici a terzi, ma rappresentano un problema rilevante sempre più esteso e costoso da affrontare. Secondo una ricerca del Ponemon Institute del 2022 gli episodi di insider threat sono aumentati del 44% dal 2020, con le aziende colpite che hanno speso in media 15,38 milioni di dollari all’anno per far fronte alle conseguenze. Sebbene non siano ancora disponibili numeri concreti per il 2023, i rischi globali e la pressione economica stanno alimentando cinque grandi sfide per la forza lavoro che intensificano ulteriormente le minacce insider.
- Riduzioni della forza lavoro. Ogni licenziamento o dimissione di un dipendente comporta la possibilità che questi porti con sé qualcosa che non dovrebbe prelevare. Secondo il report CyberArk Identity Security Threat Landscape 2023, il 58% dei professionisti della sicurezza riferisce di utenti che hanno lasciato l’azienda salvando documenti sensibili o riservati senza rispettare le policy. In un momento di turbolenze organizzative, quando le preoccupazioni per i licenziamenti potrebbero aumentare, questi rischi di minacce potrebbero peggiorare.
Analizziamo questo incidente di alto profilo avvenuto in un’importante azienda produttrice di bevande: dopo aver saputo del suo imminente licenziamento, un ingegnere ha esfiltrato documenti contenenti segreti commerciali per un valore di quasi 120 milioni di dollari nei suoi ultimi giorni di lavoro. Secondo quanto riportato, era una delle due persone che avevano accesso ai dettagli di una formula chimica top secret – l’archetipo dell’utente privilegiato. L’ingegnere è stato poi condannato per il suo crimine, tuttavia il caso evidenzia le sfide che molte aziende devono affrontare per proteggere proprietà intellettuale e altre risorse critiche, soprattutto quando cambia la forza lavoro. Il 68% dei decision maker di sicurezza prevede che licenziamenti e turnover della forza lavoro creeranno nuovi problemi di sicurezza nei prossimi 12 mesi.
- Riduzione dell’ecosistema di terze parti. I rischi per la sicurezza informatica dovuti ai tagli si estendono anche ai fornitori terzi, come gli appaltatori che hanno accesso a informazioni sensibili. Se una relazione con uno di questi partner terminasse e le autorizzazioni non venissero prontamente rimosse, il fornitore potrebbe continuare ad accedere alle risorse aziendali o un attore esterno potrebbe rilevare questi account orfani e utilizzarli per scopi pericolosi.
La gestione degli accessi di terzi è una sfida complessa, e per i professionisti della sicurezza intervistati partner, consulenti e fornitori di servizi rappresentano le identità umane più rischiose.
- Aumento del “risentimento”. Come ha dichiarato un titolo del New York Times del luglio 2023, “Il periodo delle great resignation è finito”. In un momento economico instabile, un maggior numero di dipendenti conserva il proprio posto, con una parola d’ordine che sta prendendo piede per descrivere i lavoratori che non ne sono entusiasti: “risentimento”. Indipendentemente dalle loro lamentele – dalla mancanza di soddisfazione al sentirsi sottovalutati o esauriti – questi utenti tendono a esternarla apertamente. Il risentimento non solo può influire negativamente sulla cultura e la produttività dell’ambiente di lavoro, ma può anche aumentare gli episodi di minacce interne.
Pensiamo a un dipendente che ha subìto ripetuti rifiuti di promozione, si sente quindi sottovalutato e il suo risentimento nei confronti del datore di lavoro è in crescita. Per “vendicarsi” potrebbe rubare o divulgare dati sensibili, o addirittura pubblicizzare la propria capacità di minare la sicurezza aziendale. In un momento in cui il 63% delle organizzazioni non ha protetto adeguatamente l’accesso più sensibile dei propri dipendenti, c’è la possibilità che il “risentito” riesca a farla franca.
- Difficoltà finanziarie personali. Il Data Breach Investigation Report 2023 di Verizon suggerisce che inflazione e impennata del costo della vita potrebbero alimentare un maggior numero di minacce interne spinto da motivazioni finanziarie. Secondo il rapporto, l’abuso di privilegi – definito come “dipendenti che approfittano in modo eccessivo dell’accesso concesso per svolgere il proprio lavoro” e causa principale di violazioni interne non accidentali – è più spesso associato a transazioni fraudolente rispetto agli anni scorsi. Potrebbe essere il caso di un controller finanziario – un’identità privilegiata con accesso a sistemi in cui sono archiviati conti bancari e informazioni di routing – che effettua un trasferimento non autorizzato sul proprio conto personale.
- Errori dovuti allo stress. Le riduzioni e il turnover di personale hanno un impatto profondo sui dipendenti rimasti. A molti viene richiesto di svolgere attività supplementari, con un impatto negativo sui livelli di stress. E lo stress va di pari passo con i rischi di errore.
La suscettibilità al phishing e ad altri attacchi di social engineering è già molto elevata. Recenti valutazioni dell’agenzia statunitense per la cybersecurity e la sicurezza delle infrastrutture (CISA) hanno rilevato che entro i primi 10 minuti dalla ricezione di un’email pericolosa, l’84% dei dipendenti ha abboccato all’esca rispondendo con informazioni sensibili o aprendo un link o un allegato compromesso. Dipendenti sovraccarichi di lavoro e stressati potrebbero rendere ancora più facile ottenere credenziali negli attacchi di phishing. Poiché il 50% delle identità dei lavoratori ha accesso a dati aziendali sensibili, le probabilità di colpire qualcuno sono buone.
Con tutti questi rischi, di chi ci si può fidare?
È una domanda trabocchetto. L’84% delle organizzazioni ha subìto una violazione legata all’identità nell’ultimo anno: si tratta di un’ulteriore testimonianza che non c’è spazio per la fiducia nella cybersecurity. Eliminando la fiducia, l’origine di qualsiasi minaccia – interna, esterna, ovunque – diventa meno rilevante e senza etichette negative, categorie di minacce complicate o protezioni frammentarie, la sicurezza diventa molto più semplice.
Questa è la promessa della sicurezza delle identità: una protezione potente e continua di ogni identità, basata su Zero Trust e privilegio minimo. Grazie alla piena visibilità e controllo, le aziende possono individuare rapidamente l’utilizzo improprio o l’abuso di accessi e altre attività ad alto rischio. Potendo contare su una maggiore autonomia, possono bloccare e impedire che le minacce raggiungano le risorse critiche, salvaguardando infrastruttura, dispositivi e persone, ovunque si trovino.
Bryan Murphy, senior director of Architecture Services & Incident Response di CyberArk
