Nel mirino degli attaccanti informatici non ci sono più le infrastrutture, ma i dipendenti. Queste le conclusioni di un’indagine statistica condotta da Proofpoint e dalla community di Facciamo Sistema - Cybersecurity, che hanno inviato un questionario ai Ciso di 138 medie e grandi aziende italiane. Secondo l’85 per cento dei direttori della sicurezza informatica (Ciso, dall’inglese: chief information security officer), il maggiore rischio per le aziende è costituito proprio dagli attacchi di tipo phishing o da quelli che prevedono la compromissione delle mail di lavoro (Bec, Business email compromise). Così l’onere della protezione dell’azienda viene ribaltato direttamente su chiunque disponga di accesso ai sistemi informatici, imponendo maggiori investimenti sulla formazione dei dipendenti e sull’educazione a un comportamento attento e responsabile. «Si pensa sempre che queste cose succedano ad altri - commenta il country manager per l’Italia di Proofpoint, Luca Maiocchi - ma la verità è che è questo il momento di parlare della cultura del rischio: la sicurezza informatica deve diventare una componente centrale delle strategie aziendali, dal momento che i dati messi a rischio possono avere un impatto diretto sulla produzione».
Ecco i PIN più banali (e facili da rubare): c'è anche il vostro?
La ricerca ha analizzato tre elementi chiave (frequenza degli attacchi, preparazione dei dipendenti, sfide per l’implementazione), giungendo alla conclusione che «la necessità di proteggere le persone da minacce imminenti non è mai stata così elevata», si legge nel report. Dall’indagine emerge come il 52 per cento delle aziende italiane ha subito almeno un attacco informatico nel 2019. Nel 41 per cento dei casi gli attacchi sono stati molteplici. Ma di questi, solo una delle tipologie riscontrate è rivolta alle infrastrutture e riguarda gli attacchi di tipo Ddos (Distributed denial of service) che mirano a rendere inaccessibile una risorsa collegata a Internet inviandole milioni di richieste di accesso simultanee. Questo tipo di attacco è generalmente finalizzato a causare un disservizio e non ad acquisire dei dati.
Più pericolose rispetto alla protezione degli asset aziendali sono invece le altre tipologie di attacco riscontrate, che mirano più specificamente a sottrarre informazioni o condurre truffe: phishing (39 per cento), compromissione delle caselle di posta elettronica (28 per cento), furto di credenziali o minacce interne (22 per cento), compromissione di account cloud (15 per cento) e ransomware (13 per cento). Attacchi che «possono avere un impatto finanziario e sulla reputazione devastante per le imprese», sottolinea lo studio. «I CISO italiani hanno evidenziato che il danno al marchio/reputazione è la principale conseguenza legata alla sicurezza informatica (87%), seguita dalla perdita di dati (80%) e da interruzioni aziendali/operative (74%)».
Giappone, allarme privacy nell'hotel dei robot: falla di sicurezza e clienti spiati online
A pesca di dati
Si conferma dunque il trend che vede da anni in netta crescita gli attacchi collegati all’utilizzo delle email e, più in generale, di tecniche di social engineering. Dal termine inglese che identifica le pratiche di ingegneria sociale, questa strategia vede l’attaccante studiare varie informazioni di contesto o legate direttamente al dipendente-bersaglio che si vuole attaccare, in modo da creare delle comunicazioni credibili che lo inducano a fornire spontaneamente informazioni e credenziali o ad aprire link tramite i quali può avvenire l’inoculazione di un software malevolo. Se generalmente gli attaccanti hanno usato soprattutto i social, per studiare i propri bersagli e le loro abitudini, oggi si riscontra un’attenzione più mirata al contesto sociale collettivo. «I criminali informatici modificano costantemente i loro metodi e approfittano di eventi globali e regionali per lanciare i loro attacchi. Ad esempio, il 26% dei CISO italiani ha dichiarato di aver assistito a un aumento di attività fraudolente legate alla pandemia di Covid-19».
Ma le tecniche di social engineering non vengono utilizzate solo per indurre un dipendente a cliccare su un link malevolo. È il caso degli attacchi Bec (Business email compromise), nei quali un truffatore invia una comunicazione credibile e pertinente, per esempio, per disporre il pagamento di una somma di denaro verso un conto corrente da lui controllato. «Attacchi che si verificano e che passano dall’analisi di altre conversazioni o delle modalità previste all’interno di un’organizzazione per disporre i versamenti», precisa Maiocchi.
Secondo una stima fornita dall’Fbi, l’agenzia governativa di polizia federale statunitense, tra il giugno 2016 e il luglio 2019 nel mondo la quantità di soldi sottratti utilizzando attacchi Bec o la compromissione di caselle di posta elettronica aziendali ammonterebbe a 26,2 miliardi di dollari. «Ma non tutti segnalano le truffe subite, quindi sicuramente il dato è sottostimato», commenta Maiocchi.
(Credit: Proofpoint)
Cosa fare
Anche i metodi di compromissione degli account di posta elettronica diventano più articolati, integrando gli strumenti forniti dall’ingegneria sociale con vere e proprie tecniche di hacking. Tra queste anche il brute force (il tentativo di accedere a una casella di posta elettronica provando tutte le possibili combinazioni dei codici d’accesso o delle combinazioni con maggiore probabilità di riuscita) o il furto di token (strumenti usati da browser e dispositivi per ricordare l’accesso di un utente senza dover ridigitare la password). Scenari nei quali, una volta acquisite le credenziali di accesso a un account legittimo, l’attaccante potrebbe condurre una vera e propria truffa dall’interno della stessa organizzazione.
La consapevolezza dei Ciso di fronte a questi rischi è piena: secondo l’85 per cento di loro, gli stessi dipendenti potrebbero - soprattutto inconsapevolmente - mettere a rischio l’organizzazione. Ragione per la quale nel 76 per cento dei casi si richiedono più fondi, capaci di strutturare anche percorsi di formazione per la prevenzione delle minacce. Meno consapevole però sembra essere l’organizzazione stessa, secondo quanto denunciato dal 50 per cento degli stessi direttori responsabili della sicurezza informatica.
Com'è stato lavorare in smart working in questi mesi e dove ha deluso? I risultati della ricerca
Ma il problema arriva semmai al momento del dialogo con i quadri aziendali, ritenuti preparati rispetto alle misure necessarie da adottare solo nel 21 per cento dei casi. Anche la fiducia nei confronti delle soluzioni tecnologiche adottate e dei team di sicurezza, rispettivamente del 59 e del 54 per cento, è bassa.
«Nella gran parte dei casi la componente umana è importantissima, dal momento che in quasi tutti gli attacchi è richiesto che l’utente faccia attivamente qualcosa», precisa Maiocchi. Proofpoint ha anche realizzato un indice con il quale identifica i soggetti più a rischio all’interno di un’azienda. Il nome in codice è Vap (Very attacked people), e identifica quei soggetti che più probabilmente potrebbero servire le mire di un attaccante esterno e che i Ciso d’Italia chiedono di poter formare in modo più efficace.
/https%3A//www.repstatic.it/content/contenthub/img/2024/02/21/115422321-011353a6-3e8f-48bc-8316-37d1d72e4085.jpg)
/https%3A//www.repstatic.it/content/contenthub/img/2024/04/05/105543470-49c44261-43b3-4f12-b4fb-e108b75d66d5.jpg)
/https%3A//www.repstatic.it/content/contenthub/img/2024/03/01/105328740-7255cebd-dcf8-46b4-9111-b768c95bbd1e.jpg)