Quando si legge il termine “Tesla Files” si fa riferimento alla fuga di dati diventata nota lo scorso mese di maggio, quando il media tedesco Handelsblatt ha ricevuto 100 GB di file contenenti informazioni sui dipendenti e sugli affari interni dell’azienda di Elon Musk. La cronaca più recente informa che Tesla ha individuato e denunciato i due ex dipendenti autori dell’emorragia.
Ci sono precedenti illustri, tant’è che la memoria corre a Hervé Falciani, ex informatico della banca Hsbc che ha trafugato i dati di migliaia di grandi evasori. Va fatta una precisazione propedeutica: Hervé Falciani si è sempre dichiarato whistleblower, cosa sulla quale si può discutere giacché i dati ha cercato di venderli e, a prescindere da ciò, è comunque riuscito a impadronirsi di dati sensibili e a portarli al di fuori dell’azienda.
Lo scenario che si delinea ha una superficie ristretta: le imprese temono gli attacchi dall’esterno e sottostimano quelli provenienti dall’interno e le due tipologie, all’atto pratico, non danno risultati molti diversi tra loro, giacché possono sortire danni economici e reputazionali.
Fatto sta che, ritornando a Tesla, non si tratta neppure del primo problema interno. Procedendo a ritroso nel tempo, ad aprile del 2023, Reuters ha denunciato la facilità con cui i dipendenti dell’azienda possono impadronirsi e fare circolare i video registrati dalle videocamere a bordo delle autovetture e questo, prima di ogni altra cosa, mette in discussione tutte le garanzie sulla privacy.
Si può ridurre il rischio di fuga di dati dall’interno e la filosofia di fondo per poterlo fare la illustra Konstantin Sapronov, Head of Global Emergency Response Team di Kaspersky.
Whistleblowing, la nuova disciplina italiana: ambiti applicativi e regole operative
Indice degli argomenti
Ridurre il rischio di fuga di dati dall’interno
Le tecnologie per ridurre il rischio sono molte e agiscono in modo diverso. Non sono in grado di annullare il rischio di fughe di dati dall’interno ma, nella peggiore delle ipotesi, riducono la platea potenziale dei delatori e fungono da deterrente.
La prima misura da attuare è l’accesso ai dati, confinando quelli sensibili in directory o database accessibili solo a un numero molto ristretto di utenti. Le politiche di accesso possono essere estese anche a tutti i dispositivi mobili di cui i dipendenti sono dotati e dai quali possono collegarsi alla rete aziendale.
Allo stesso modo, una sana e ponderata politica Zero Trust può fare la differenza, pure non potendo estirpare il problema di un furto dati dall’interno.
Laddove questo non sia sufficiente perché i dati sensibili sono appannaggio di una moltitudine di utenti (basta pensare ai reparti amministrativi delle multinazionali) si può intervenire con ulteriori provvedimenti come, per esempio, il logging delle attività svolte dagli utenti durante l’uso di gestionali o database. Il monitoraggio delle attività dei dipendenti è reso possibile – seppure con alcuni limiti – dal Garante per la privacy laddove per le aziende coincide con un controllo difensivo.
Esistono diversi software che inibiscono l’uso di porte USB (e quindi delle periferiche che si possono collegare ai computer) e l’uso dei lettori/masterizzatori di CD.
L’uso di proxy può regolamentare (e in ogni caso loggare) le attività svolte dai dipendenti online, rendendo più difficile l’esfiltrazione di dati usando servizi Cloud privati o email.
Non da ultimo, le politiche aziendali in merito ai comportamenti sconvenienti devono essere chiare e bene esplicitate. Non si parla soltanto di un licenziamento per giusta causa ma anche delle rivalse in sede penale e in sede civile che l’azienda può riservarsi di attuare.
Laddove non si può contare soltanto sulle tecnologie, le politiche aziendali sono dei deterrenti.
Regione Lazio, tutti i punti aperti dopo il backup ritrovato
Le conseguenze per Tesla
Al di là dell’esposizione ai danni reputazionali ed economici comuni a tutte le violazioni, occorre fare i conti con i regolatori nazionali e sovranazionali.
Nel caso di Tesla non è da escludere la morsa del GDPR che prevede multe per le aziende che non proteggono in modo adeguato i dati personali. In Olanda, dove c’è la sede europea di Tesla, il Garante ha aperto un’indagine su questa violazione, pur non avendo ancora preso una decisione.
Conclusioni
Affidiamo le conclusioni a Konstantin Sapronov: “Quando si parla di sicurezza informatica di un’azienda, il fattore umano può effettivamente rappresentare un rischio. I dipendenti potenzialmente insoddisfatti possono, infatti, essere responsabili di fughe di notizie o altri tipi di attività illegali a fronte di valutazioni professionali, economiche o altre motivazioni. Purtroppo, è impossibile eliminare completamente questi rischi. Gli insider hanno dei vantaggi rispetto agli aggressori esterni: dispongono di più informazioni e le loro azioni sono più difficili da individuare”.
Chi vive l’azienda dall’interno gode di fiducia e ha, almeno in linea teorica, accesso a una grande quantità di dati e per questi motivi, suggerisce Sapronov: “Questi rischi possono e devono essere mitigati e devono essere adottate misure per ridurre al minimo i danni nel caso in cui si verifichino. In primo luogo, è necessario limitare l’accesso dei dipendenti ai dati riservati in base al principio ‘need-to-know’. Per le informazioni più sensibili è necessario applicare misure aggiuntive, come la crittografia o l’autenticazione a più fattori. Per ridurre al minimo i danni causati dalle fughe di notizie da parte degli insider, è necessario implementare un sistema di registrazione e monitoraggio degli accessi ai dati importanti. Questo aiuterà a rilevare gli attacchi in una fase iniziale e a indagare sugli incidenti già avvenuti”.
