Ogni responsabile IT e della sicurezza è preoccupato dalle minacce interne. Sono notoriamente difficili da individuare, costose da contenere e possono portare a perdite significative e danni alla reputazione. Nonostante gli sforzi per mitigarle, gli attuali rischi globali e la pressione economica stanno aggravando la situazione. Non esiste una soluzione unica per proteggersi dalle minacce interne, ma certo una maggiore attenzione alla cultura, al coinvolgimento e alla responsabilizzazione può fare davvero la differenza.
Il percorso verso un mega breach è lastricato di buone intenzioni
Edward Snowden, l’uomo dietro la più grande fuga di notizie della storia, ha plasmato il modo in cui il mondo vede le minacce interne. Da quel caso emblematico, i portatori di minacce interne sono spesso rappresentati come oscuri personaggi malvagi, sabotatori aziendali furtivi o spie alla ricerca di informazioni riservate.
In realtà, la maggior parte delle minacce insider è causata da dipendenti con buone intenzioni che commettono errori o prendono sottogamba la sicurezza cercando scorciatoie. Senza contare l’evoluzione tecnologica che mette nuovi strumenti a disposizione di tutti: secondo il nostro recente report CyberArk Identity Security Threat Landscape, il 63% dei professionisti della sicurezza segnala un aumento del rischio a seguito dell’utilizzo da parte dei dipendenti di strumenti di intelligenza artificiale non approvati.
Anche affidarsi in modo legittimo all’AI può creare rischi significativi. Le notizie di questo mese indicano che un team di AI di Microsoft, animato da buone intenzioni, ha accidentalmente fatto trapelare 38 TB di dati aziendali mentre contribuiva a modelli di apprendimento dell’AI open-source su un repository pubblico di GitHub. Inoltre, numerosi studi dimostrano che i dipendenti utilizzano regolarmente dispositivi personali non gestiti per accedere alle risorse aziendali, violando le policy corporate. Sono solo alcuni dei molti modi in cui i dipendenti diventano involontariamente minacce interne.
Tuttavia, non sono solo i dipendenti a rappresentare un rischio: la nota violazione che ha coinvolto il gigante del retail Target è stata una delle prime a portare sotto i riflettori le minacce insider di terze parti. Partner, consulenti e fornitori di servizi che accedono a risorse aziendali sensibili per scopi validi possono facilmente trasformarsi in minacce interne inconsapevoli o malintenzionate, portando gravi scossoni in grandi ecosistemi digitali strettamente interconnessi. Ed è questo il motivo per cui oggi i responsabili della sicurezza indicano le terze parti come le identità umane più rischiose.
È fondamentale costruire una solida cultura della sicurezza IT
Secondo il Verizon DBIR 2023, il 74% di tutte le violazioni prevede il fattore umano, con persone coinvolte per errore, abuso di privilegi, uso di credenziali rubate o social engineering. Ciò significa che la sicurezza deve concentrarsi sempre più sulle persone e non solo sulla tecnologia – anche se entrambi gli elementi restano necessari.
Promuovere una forte cultura della cybersecurity richiede uno sforzo da parte di tutti. Il management ha la responsabilità di definire il tono giusto (modellando pratiche sicure) e processi che aiutino a identificare e affrontare i comportamenti a rischio e guidare la collaborazione interfunzionale. Allo stesso tempo, deve responsabilizzare i dipendenti con una formazione continua e un potenziamento positivo che crei fiducia, modifichi atteggiamenti e abitudini e, in ultima analisi, crei aziende più resilienti. Mantenere una cultura e una mentalità orientate alla sicurezza in tutta l’azienda è semplicemente irrinunciabile.
Anche dipendenti e utenti di terze parti devono capire perché l’igiene della cybersecurity sia così importante e impegnarsi maggiormente per essere parte della soluzione. A tal fine, è necessario esaminare con attenzione il modo in cui le loro abitudini possano contribuire al rischio organizzativo, ad esempio utilizzando applicazioni web non autorizzate, consentendo ai membri della famiglia di usare i dispositivi aziendali o non proteggendo in modo adeguato le credenziali (utilizzando password deboli, riutilizzando le medesime per vari scopi, salvandole nei browser e così via).
Sei modi per incoraggiare la mitigazione delle minacce interne
Attenuare le minacce interne può anche significare segnalare. Se un dipendente notasse qualcosa di strano, sarebbe sua responsabilità farlo. D’altro canto, il datore di lavoro ha il compito di incoraggiare l’impegno e il controllo in sei semplici passaggi:
- Sviluppare metodi di segnalazione sicuri per garantire che il personale che indica minacce interne rimanga anonimo e protetto da potenziali ritorsioni.
- Dare priorità alla formazione continua sulla cybersecurity per aiutare i dipendenti a comprendere il panorama degli attacchi in evoluzione e le tecniche di social engineering più comuni a cui prestare attenzione, come phishing, vishing e smishing. I dipendenti possono rispondere a potenziali minacce in modo più efficace con formazione e impegno regolari.
- Illustrare segnali e comportamenti specifici che potrebbero indicare potenziali minacce interne, tra cui movimenti insoliti di dati, uso di applicazioni o hardware non approvati ed escalation di privilegi per accedere a informazioni e sistemi non essenziali per la funzione lavorativa svolta.
- Comunicare a dipendenti e utenti terzi regole trasparenti e ben definite, che rafforzino la responsabilità personale e sottolineino l’importanza di policy, procedure e best practice aziendali in materia di sicurezza delle informazioni.
- Stabilire policy e best practice per la conformità, tra cui la separazione o la segregazione dei compiti e la richiesta di più di una persona per completare un compito critico.
- Dedicare le risorse del centro operativo di sicurezza (SOC) alla gestione e all’analisi di informazioni e attività relative alle minacce interne.
L’impegno dall’alto verso il basso per identificare e agire sui problemi legati alle minacce interne per le aziende porta con sé la possibilità di coinvolgere più efficacemente i dipendenti che mostrano potenziali indicatori di rischio. Anche la tecnologia giusta può contribuire a ottenere risultati positivi quando i sistemi sono configurati correttamente per affrontare eventuali falle di sicurezza. Ad esempio, strumenti di machine learning con funzionalità di sicurezza adattiva consentono alle aziende di definire i comportamenti degli utenti e ridurre i falsi positivi nel rilevamento di anomalie informatiche.
Quando si tratta di minacce interne, dipendenti e utenti di terze parti rappresentano la prima e l’ultima linea di difesa per salvaguardare le risorse aziendali più critiche, ma possono essere aiutati a fare meglio: per questo è necessario dotarli di conoscenze, processi e tecnologia di base di cui hanno bisogno per avere successo.
Di Omer Grossman, global chief information officer di CyberArk