Sono numerose le aziende rimaste vittime della truffa del falso CEO, a testimonianza del fatto che l’errore umano negli incidenti informatici e nella perdita di dati sensibili è, purtroppo, molto più frequente di quanto si possa pensare.
La cyber security è una questione seria che ha bisogno di soluzioni urgenti. Perché? Perché la truffa non è avvenuta con sofisticati sistemi di intrusione nel sistema informativo aziendale, ma attraverso una semplice mail “artefatta” proveniente da un superiore che non aveva dato alcun ordine.
In questo momento, l’anello debole dell’informatica è il fattore umano.
Indice degli argomenti
L’errore umano negli incidenti informatici: il fattore H (Human)
Negli ultimi vent’anni abbiamo assistito a un cambiamento vertiginoso nelle aziende. La presenza disruptive della tecnologia, dalla semplice automazione, alla robotica e alla più recente intelligenza artificiale, sta modificando i processi e i ruoli all’interno delle realtà aziendali.
Dopo anni di assoluta fiducia nel progresso e nell’Information Technology, si intravvede il ritorno alla centralità dell’uomo nel processo aziendale, soprattutto in quello fortemente tecnologico.
Il fattore umano è il fulcro della creatività: si pensi alla diffusione di competenze umanistiche in aziende tecnologiche. Nascono figure come il “Chief Philosophy Officer”.
Al contempo il fattore H (Human) è divenuto elemento fragile nel processo tecnologico, con delle vulnerabilità sociali che hanno dato vita a un’altra importante figura professionale: l’ingegnere sociale. L’ingegneria sociale (dall’inglese social engineering) è lo studio del comportamento individuale per carpire informazioni utili.
Secondo i dati resi noti dall’Information Commissioner del Regno Unito la causa principale delle violazioni dei dati sono gli errori umani, che sono quasi i due terzi (62%) degli incidenti, superando di gran lunga gli altri tipi di cause come ad esempio le pagine web non sicure e le azioni di hackeraggio, che pesano insieme appena il 9%.
Chi difende il “fortino” IT ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto, poi deve scattare la consapevolezza.
La frase ricorrente, secondo cui la catena della sicurezza è fatta dall’anello più debole, è quanto mai vera. Sorridiamo tutti osservando il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio dell’ingegneria sociale non sfrutta la tecnologia per entrare nel “fortino”, ma la buona fede delle persone, indipendentemente dall’incarico ricoperto in azienda.
Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Non servono un virus o un trojan, sono mix tra tecnologia ed errori umani le armi che verranno sempre più utilizzate per carpire i dati dalle aziende (tratto dall’articolo “Sicurezza informatica in azienda ‘for dummies’” di Luca Moroni per Realtà Industriale, agosto 2015).
Se eliminiamo la casualità e l’involontarietà di un incidente cyber e la sostituiamo con la volontà di creare un danno, lo scenario cambia. L’uso legittimo dei dati e il loro accesso, ma anche la manipolazione possono avere un effetto devastante.
Ricordiamo qualche anno fa la descrizione di un caso di furto di dati relativi a segreti industriali in formato digitale, in cui l’azienda sottolineava le difficoltà nel chiudere una vertenza per le tradizionali lungaggini giudiziarie.
Era disarmante ascoltare la palese azione illecita dell’insider (il dipendente infedele) e la pronta azione delle forze dell’ordine che acquisivano le prove digitali. Ma era più che evidente che esisteva uno sbilanciamento della giustizia verso chi compie reati.
Il fattore H: uno degli elementi più critici della sicurezza aziendale
Nell’intento di sensibilizzare le organizzazioni a questa apertura alla multidisciplinarietà e alla consapevolezza del rischio umano, nasce il white paper “L’errore umano negli incidenti informatici e nella perdita di dati sensibili”.
Questo documento cerca di analizzare le criticità del cervello umano, immaginando che il responsabile della sicurezza logica in azienda abbia il compito di ridurre le vulnerabilità dovute all’errore umano. Non vuole trattare temi specifici della medicina o della sociologia, ma considerare le basi.
Il cervello è uno degli elementi più critici della sicurezza logica in una azienda. Come tutti gli elementi della catena della sicurezza logica è necessario configurare e ottimizzare; cerchiamo di farlo considerando il modo di fare delle persone in azienda.
Chi ogni giorno supporta gli utenti dei sistemi informatici deve trovare le soluzioni ai problemi con un approccio di tipo multidisciplinare, un mix di competenze che vanno dall’area psicologica e sociologica a quella più tecnica.
Non è possibile creare un “manuale di configurazione”: con questo documento desideriamo tracciare delle linee guida, basandoci sul funzionamento del cervello, le tecniche di attacco di un ingegnere sociale e le casistiche più comuni di incidenti che si riscontrano in azienda.
La prima funzione del documento è creare consapevolezza che i tempi non parlano più di un “possibile” attacco cyber, ma di un “quando”. Sofisticatissimi dispositivi tecnologici non sono in grado di proteggere dall’astuzia umana. L’attacco cyber non sempre cela dolo a scopo estorsivo, spesso è una banale dimostrazione di potere.
Il furto dell’identità personale e/o aziendale crea sempre un danno d’immagine, difficile da estirpare. Nella rete uno dei temi più complessi è il diritto all’oblio.
Il social engineering deve diventare una delle priorità nella difesa delle aziende. Non bastano la presenza del consulente o faldoni di procedure, serve una formazione mirata agli addetti ai lavori, fatta di teoria e di tanta pratica.
Il risultato che si ottiene è duplice, da un lato la tutela della sicurezza aziendale, dall’altro la resilienza del personale che apprende modalità organizzative capaci di prevenire e risolvere velocemente emergenze di vario genere ed eventuali attacchi.
Perché gli incidenti informatici sono nella maggior parte dei casi dovuti al fattore umano (una stima approssimativa parla circa del 90% del totale).
Il paradigma fondante del white paper è che la sicurezza informatica è un processo e non un prodotto. La cyber security aziendale così inquadrata diventa un flusso di azioni che formano, prevengono e mitigano il danno.
Non è più possibile associarla al semplice acquisto di potenti dispositivi tecnologici. Non è più disciplina con accountability esclusiva del reparto IT. La cyber security è in capo al CEO che, per primo, deve riconoscere il valore del proprio capitale informativo, all’HR che gestisce le risorse umane e la loro formazione e all’IT che deve saper scegliere le infrastrutture adeguate e una partnership di valore con i consulenti.
Il punto di vista degli esperti IT non è più sufficiente, serve un approccio di tipo antropologico, psicologico e sociologico per ridurre i rischi e le perdite da intrusione malevola nell’operatività aziendale.
Non si tratta più di intrusione nei sistemi, ma di intrusione nei processi. La cosa importante è costruire una estesa ed efficace “cultura” che governi la sicurezza aziendale.
Il white paper si è concentrato su temi tecnologici, affrontando la questione sociale e l’ambito organizzativo delle aziende. La rappresentazione di casi studio ha messo in evidenza quanto il tema sia critico e in fase crescente in fatto di pericolosità.
Sono pochissime le aziende che non hanno ancora subito un blocco da cryptolocker. Le statistiche degli ultimi mesi sono poco rassicuranti e le aziende colpite subiscono ingenti perdite da fermi di produzione, da danno d’immagine e da perdita del patrimonio informatico e informativo. Si veda il recente caso della azienda Bonfiglioli.
Il white paper descrive come attraverso un gioco di ruolo, si riesce a far capire come ragiona l’ingegnere sociale nelle sue fasi di studio del target. Il tutto risulta efficace perché il cervello è costretto a pensare a come fare per raggiungere l’obiettivo.
È l’inizio di un processo di crescita in consapevolezza, formazione ed organizzazione all’interno dei contesti aziendali di vario genere che coinvolge il firewall umano delle persone.
L’introduzione della tecnologia negli ambiti professionali, ma anche nella dimensione personale, richiederà un apprendimento continuo.
Apprendimento fatto di istruzioni d’uso, ma anche di conoscenze di rischi e benefici nell’utilizzo della tecnologia e delle eventuali vulnerabilità sociali che non vengono prodotte dai bit ma dall’inganno umano.
