Tutti i maggiori frameworks in materia di information security – in primis la ISO 27001 e non da ultimo il GDPR – sono concordi nel sottolineare l’importanza che riveste il ruolo della formazione dei dipendenti in materia di sicurezza informatica: tuttavia, seppur tutti convengano che l’utente sia “l’anello debole della catena”, e le statistiche in merito ce lo confermino, il problema di fondo rimane come “misurare” la cyber exposure aziendale a un potenziale attacco informatico veicolato a causa dell’ignaro dipendente.
Infatti, anche nel mondo del rischio IT si può applicare l’adagio coniato da Robert Kaplan: “non si può gestire ciò che non si può misurare”. E aggiungerei che non lo si può nemmeno migliorare.
Indice degli argomenti
Cyber exposure aziendale: il contesto
Vediamo dunque come si può articolare un progetto di security awareness in una PMI italiana all’interno della quale, come ben sappiamo, la sensibilità al tema è molto bassa a partire proprio dal top management.
Iniziamo col dire che il veicolo maggiormente usato da un hacker è senza dubbio l’e-mail phishing, grazie al quale un attaccante riesce a sfruttare meglio il cosiddetto social engineering. Basti pensare che, secondo il survey di uno dei maggiori brand del campo dell’e-mail protection, nel 2018 in Italia su un campione di 10 miliardi di mail oltre il 70% è classificabile come posta indesiderata quindi potenziale veicolo di malware, virus e altri attacchi.
Pertanto, se vogliamo capire il livello di esposizione al rischio un buon punto di partenza può essere quello di simulare queste tipologie di attacchi all’interno dell’azienda attraverso una piattaforma di phishing simulation.
Facciamo un piccolo passo indietro. In quest’articolo si dà per presupposto che i sistemi informativi aziendali siano dotati dei necessari strumenti di difesa perimetrale, in particolar modo di un tool di e-mail protection.
Stabilire gli indicatori di misurazione
Il prossimo passo è quello di stabilire degli indicatori di misurazione (KPI, Key Performance Indicator) che ci permettano di avere il quadro più realistico possibile della situazione. Infatti, più sono raffinati gli indicatori, più veritiera potrà essere la rappresentazione del livello di rischio al quale è esposta l’organizzazione.
Il primo indicatore è di tipo qualitativo e impone di selezionare la tipologia di e-mail phishing. Due delle più comuni sono quella “drive by”, cioè una mail contenente un link malevole che se cliccato porta all’installazione automatica del malware, e quella “data entry” che invece invita l’utente a inserire credenziali di accesso o dati sensibili come quelli delle carte di credito all’interno di una landing page apparentemente legittima.
Il secondo indicatore è di tipo quantitativo. È opportuno selezionare le funzioni aziendali che maggiormente si interfacciano con l’esterno, quali ad esempio il marketing, l’amministrazione oppure quelle a cui sono state affidate e-mail generiche (es.: “info@…”).
Il terzo fattore, che in realtà si interseca con gli altri due, è di tipo temporale. L’applicazione dei principi del social engineering porta a tentare alcune tipologie di attacchi, come quelli BEC (“Business Email Compromise”), a certe ore del giorno o in certi periodi dell’anno. Per quanto riguarda la tipologia appena citata, gli attacchi avvengono più spesso di venerdì o in concomitanza con periodi particolari come quello della chiusura del bilancio.
Cyber exposure aziendale: il rischio in cifre
A questo punto è ora di far partire la prima campagna di phishing simulation e leggere i risultati sulla base dei KPIs sopra descritti.
Come detto nel campo di applicazione, il progetto si sviluppa in una PMI italiana, all’interno della quale non solo non è mai stata fatta sensibilizzazione sul tema ma i dipendenti sono stati tenuti totalmente all’oscuro dell’esperimento in modo da avere dei risultati del tutto genuini.
L’esperienza in progetti di questo tipo ci dice che a seguito della prima campagna, per quanto riguarda la prima tipologia di attacco, si ha una media di utenti compromessi che oscilla tra il 12% e il 18% alla quale è opportuno aggiungere che circa il 25% dei soggetti quantomeno apre la mail.
La seconda tipologia fa registrare mediamente delle percentuali che vanno dal 5% all’8%.
Dato molto interessante, per quanto riguarda quest’ultima tipologia, è che l’e-mail fraudolenta portava a una landing page costituita dalla pagina Facebook o LinkedIn scritta tuttavia con il dominio errato (es.: www.linkedin.org, www.facebook.it).
Entrambi sono sintomi che il grado di attenzione che presta l’utente medio durante la navigazione Internet è piuttosto basso e, parlando in termini di probabilità spiccia, qualora una mail fraudolenta della tipologia “drive by” passasse le linee di difesa perimetrale quasi due su dieci andrebbero a segno causando danni difficilmente pronosticabili.
Su questo punto sarebbe molto interessante calcolare all’interno della specifica organizzazione il cosiddetto “SLE” (Single Loss Expectancy) cioè l’equivalente economico dei danni che una banale mail può compiere ai sistemi informativi e quindi al patrimonio aziendale.
Per quanto riguarda il secondo indicatore, invece, è difficile stabilire un pattern univoco tra i vari casi; è senza dubbio più opportuno leggerlo alla luce della specifica realtà in cui ci si trova.
Cyber exposure aziendale: calcolare il ROI
Il progetto prevede di ripetere la campagna di phishing simulation più volte durante l’anno per avere un numero di campionature tali da poter stabilire un trend e poter ottenere un Return of Investment (ROI, traducibile con: ritorno sugli investimenti) tangibile.
Si può osservare che, salvo casi di organizzazioni particolarmente indisciplinate che comunque rappresentano dei casi piuttosto rari, le percentuali migliorano sensibilmente già dopo la terza tornata. Nel dettaglio, le percentuali diminuiscono fino al 5% per quanto riguarda gli attacchi “drive by” e fino a percentuali prossime allo zero per la tipologia “data entry”.
Questo dimostra che la security awareness può concretamente diminuire l’esposizione al rischio di un’azienda soprattutto se si pensa che l’effort economico sostenuto per ottenere il ROI sopra descritto è di gran lunga più basso rispetto all’incremento indiscriminato dello stack tecnologico aziendale.
