Il rientro al lavoro dopo le ferie è un momento delicato per tutti, perché comporta rischi perfino per gli esperti di cyber sicurezza: è quanto si evince da una ricerca di Cyber Guru, secondo cui i maggiori pericoli sono il burnout e l’uso promiscuo dei dispositivi personali e aziendali.
Inoltre, secondo il Verizon Data Breach Investigations Report, oltre 6 professionisti su 10 della cyber sicurezza sono consapevoli che gli attacchi sono più frequenti e che occorre alzare il livello dell’attenzione.
“La survey di Cyber Guru mette in evidenza ancora una volta quello che tutti i professionisti della cyber security sanno molto bene”, evidenzia Enrico Morisi, ICT Security Manager, “l’essere umano è al centro di ogni cosa e non si può quindi prescindere da un’incessante attività di promozione della cultura della sicurezza“.
Oltre un utente su tre può sottovalutare le minacce. Sempre più diffusi sono gli errori provocati dalla fretta e dalla necessità di essere sempre iperconnessi e attivi nel mondo digitale.
“È mia opinione che il principale rischio per chi fa il nostro lavoro sia il burnout“, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Ecco quali sono i pericoli maggiori per i professionisti del settore nel back to work.
Indice degli argomenti
Back to work: i rischi per gli esperti di cyber sicurezza
“Si lavora a ritmi serrati, ci si confronta con una pletora di attaccanti che si distinguono per capacità e ingegno“, mette in guardia Paganini, ” e spesso queste condizioni ci portano al limite delle nostre capacità psicofisiche“. Infatti il burnout è sempre dietro l’angolo.
Il principale responsabile delle violazioni informatiche è proprio il fattore umano, all’origine di 3 incidenti su 4 che, in quasi la totalità delle occasioni (95%) comportano perdite economiche.
“Richiamando il titolo di un famoso libro, si potrebbe dire ‘Niente di nuovo sul fronte occidentale'”, afferma Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Questi dati infatti non fanno altro che confermare – se ancora ce ne fosse bisogno – che è il fattore umano la prima causa di incidente informatico”.
“La necessità e, in certi casi, il desiderio compulsivo di essere sempre interconnessi, con il conseguente ampio ricorso all’uso dei dispositivi mobili”, sottolinea Morisi, “pone le organizzazioni di fronte a sfide sempre più ardue, come per esempio la frantumazione del concetto di ‘perimetro’, rendendo di fatto il ‘fattore umano’ sempre più determinante”.
La disinvoltura digitale riguarda tante persone, dall’apertura di un link non verificato alla ricarica dello smartphone alle colonnine pubbliche a causa della FOMO (la paura di rimanere sconnessi). Fino alla commistione digitale tra sfera privata e professionale su device casalinghi e aziendali.
“Francamente, però, dubito su alcuni dati che emergono dal rapporto, come per esempio che il 69% del campione, se avesse bisogno con urgenza di connettersi, lo farebbe anche ad una rete Wi-Fi non protetta da password e senza le dovute precauzioni”, dice Paganini: anche “altri elementi del rapporto mi lasciano perplesso, si tratta di comportamenti non accettabili da chi si definisce esperto di cyber sicurezza. Parliamo di comportamenti a rischio e posso in tutta tranquillità affermare che nessuno degli esperti che conosco commetterebbe errori tanto grossolani. Probabile che il campione scelto non sia rappresentativo, se i risultati sono quelli proposti. Concordo invece sul comune errore di utilizzare in maniera promiscua i dispositivi personali e aziendali“.
La contaminazione fra sfera aziendale e personale
Sebbene il 75% dei lavoratori operi la separazione dello smartphone aziendale da quello personale ed il 58% abbia un PC in ufficio (e uno a casa), una suddivisione ottimale in via teorica per evitare rischi di ‘contaminazione’ tra i due mondi, nella pratica spesso si cade.
Le persone finiscono infatti per usare i dispositivi aziendali e privati in maniera fluida, esponendoli entrambi a un doppio rischio, rendendendo inutile laverli separati. E così il 60% usa i device aziendali anche per scopi personali, al 33% è successo di accedere ai propri canali social da device aziendali senza dare troppo peso al fatto, e dal device personale si leggono mail del lavoro (29%). E invece sono comportamenti a rischio.
“La commistione tra sfera privata e lavorativa su device aziendali e personali rende molto più facile il social engineering“, ricorda Sbaraglia, “dando all’attaccante l’opportunità di rubare dati sensibili (anche aziendali!), grazie ai quali potrà poi finalizzare l’attacco verso l’azienda per cui si lavora. Dunque ‘la nostra fretta è il miglior alleato dei cyber criminali‘. Questa fretta, che è una costante della nostra vita digitale, ci porta a sottovalutare i rischi ed a compiere azioni attraverso le quali l’attaccante potrà ottenere il suo obbiettivo, sfruttando, come detto, l’errore umano. In realtà, gran parte degli attacchi informatici che subiamo non sono per nulla sofisticati, perché non è necessario. Semplicemente sfruttano i nostri errori”.
La coazione a ripetere è rischiosa
Inoltre, “in questo scenario è facile incorrere in errori che sono frutto di azioni spesso ripetitive”, conferma Paganini, “che occorre eseguire in fretta. L’insidia è proprio dietro queste operazioni che inconsciamente riconosciamo come poco pericolose“.
La tempesta perfetta
“La scarsa cultura digitale degli italiani, confermata dal Rapporto Desi 2022 della Commissione Europea, e la grande diffusione degli strumenti informatici (computer ma soprattutto smartphone) creano una combinazione micidiale che porta gli utenti a commettere errori che potrebbero avere conseguenze ben più gravi di quelle che gli stessi utenti stimano. Una ‘tempesta perfetta’”, ricorda Sbaraglia. Inoltre la vita social di tutti noi ci rende vulnerabili, perché tendiamo a tenere un atteggiamento che in Rete dovrebbe essere vietato: rilassarsi ed abbassare la guardia. Infatti “un altro fattore che ci rende più vulnerabili agli attacchi informatici è – a mio parere – la facilità d’uso degli strumenti di utilizzo del web: tutti abbiamo uno smartphone, tutti abbiamo profili social”, spiega Sbaraglia. “Ciò induce gli utenti a ritenere che navigare nel web sia semplice e privo di rischi, quindi ci porta – come indica il rapporto di Cyber Guru – ad un’eccessiva disinvoltura digitale. Ma non è così, perché gli attaccanti sanno come sfruttare i punti più deboli per violare i nostri account e lo fanno, per esempio, attraverso i canali social“, avverte l’esperto di cyber security. “È noto che sui social siamo portati ad ‘abbassare la guardia’ ed a sottovalutare i rischi, come se ci trovassimo in un mondo dove tutti sono amici. Ed invece molti attacchi vengono realizzati attraverso i social, con messaggi esca e di phishing sui quali non si pone la dovuta attenzione. Ma attraverso il profilo social l’attaccante può entrare e prendere poi il controllo del nostro dispositivo, personale ma soprattutto aziendale”, mette in guardia Sbaraglia.
Come mitigare i rischi per esperti e professionisti della cyber sicurezza
Nel back to work il consiglio è di rimanere vigili e fermarsi sempre un secondo prima: bisogna sempre riflettere prima di agire, anche quando siamo in pausa.
“Il proposito di vigilare, fermarsi e riflettere prima di agire, al fine di contrastare fretta e disinvoltura digitale, è quanto mai appropriato”, avverte Morisi: “Del resto, la nota campagna “Stop. Think. Cnnect.”, promossa dal governo statunitense e lanciata nell’ormai lontano 2010, riassume in tre semplici parole, alla portata di tutti, l’essenza di un programma di a, finalizzato a godersi, in sicurezza, il mondo digitale”.
“Per quanto ci si sforzi, per esempio, di definire policy adeguate al modello di Mobile Device Deployment adottato (per esempio BYOD, COPE, CYOD, COMS, COBO) sarà sempre l’essere umano, con il suo comportamento, le sue conoscenze, il suo coinvolgimento, il suo consenso, il suo atteggiamento, a determinare il successo o il fallimento di qualsivoglia programma di cyber security”, aggiunge Morisi.
E “gli errori che si possono commettere sono spesso relativi all’esecuzione di procedure previste per specifiche attività“, spiega Paganini: “Pensiamo, per esempio, alla catena di comunicazioni che si innesca all’identificazione di una attività anomala o peggio ancora di un incidente“.
“Omettere alcune di queste comunicazioni, ritardarle nel tempo, o indirizzarle alle persone sbagliate“, conclude Paganini, “potrebbe causare seri problemi all’organizzazione di cui facciamo parte”.
La separazione fra sfera privata e lavorativa su device aziendali e personali deve essere rigorosa. “Nella mia attività di formazione”, evidenzia Sbaraglia, cerco sempre di sensibilizzare le persone a mettere in pratica una rigorosa separazione tra l’uso privato e l’uso aziendale dei propri device”. Infine ricordiamoci che “è un problema culturale, non tecnico”, perché basterebbero pochi secondi di attenzione (e di valutazione) per capire che quel messaggio ha qualcosa di sospetto o che quell’offerta è troppo bella per essere vera”, conclude Sbaraglia.
