Tutte le organizzazioni, in generale, sono vulnerabili alle minacce interne (insider threats) da parte dei dipendenti che possono utilizzare il proprio accesso autorizzato a strutture, persone o informazioni per danneggiare la propria organizzazione, intenzionalmente o meno. Il danno può variare da comportamenti connotati da negligenza, come la mancata protezione dei dati o il clic su un collegamento di spear-phishing, ad attività consapevolmente dannose come il sabotaggio, il furto della proprietà intellettuale, la frode sul posto di lavoro, ecc..
La minaccia umana è divenuta, pertanto, un elemento significativo nell’attuale panorama delle minacce cibernetiche e, da un punto di vista organizzativo e gestionale, un problema collegato è divenuto quello su come incorporare questi vettori di minacce nei piani di gestione del rischio organizzativo al fine di mitigare le minacce interne. Questo aspetto è l’obiettivo precipuo di una recente pubblicazione dello statunitense National Counterintelligence and Security Center (NCSC), relativa alle linee guida di mitigazione delle insider threats, di cui si darà sostanzialmente conto nel resto dell’articolo.
Cybersecurity PA, il “fattore umano” è il problema: lo scenario
Le linee guida di mitigazione delle insider threats
Oggigiorno, le minacce interne sono in crescita ma esse rappresentano un aspetto sostanzialmente negletto nell’ambito della vasta panoplia delle più complessive minacce cibernetiche. Esse hanno spesso un’evidenza pubblica minore, difatti, delle minacce informatiche ad accesso remoto e di quelle relative alla vulnerabilità del software. Le minacce ad accesso remoto, ad esempio le campagne di phishing, tendono ad essere più presenti nella grande stampa d’opinione e nei social networks. In questi contesti, le discussioni sulla protezione delle organizzazioni e delle infrastrutture critiche sono spesso sinonimo di sicurezza informatica e di vulnerabilità dei vari software. Ci si concentra, principalmente, sul campo di battaglia digitale (cyberspace) il quale si è enormemente esteso, anche a seguito dell’attuale crisi pandemica. All’inverso, ci si concentra relativamente poco sul fattore umano relativo alle insider threats ma questo aspetto è più insidioso di quanto si possa comunemente immaginare in quanto è sicuramente più difficile da individuare e, dunque, da mitigare. Infatti, più spesso di quel che si crede, un essere umano con a disposizione delle credenziali di accesso è proprio colui che può compromettere, in maniera consapevole o meno, l’integrità dei dati e delle risorse informative aziendali. Ciò è ancor più vero nella situazione pandemica attuale, in cui bisogna tener, nel debito conto, gli aspetti psicologici a cui è stata sottoposta la forza lavoro remotizzata.
«The pandemic has brought incredible new stresses. These stresses are recognized by Foreign Intelligence Entities as opportunities. With more individuals working remotely or from home, the pandemic has fostered greater reliance on less-secure information and communications technologies that may be exploited by adversaries, and more interdependencies between elements of these technologies» (NCSC 2021:8).
Le tecniche di ingegneria sociale
Perfino se le protezioni cibernetiche del perimetro aziendale sono molto efficaci, un avversario malevolo può escogitare un sistema in cui si possono sfruttare le molteplici vulnerabilità umane, generalmente mediante l’utilizzo di tecniche generali che vanno sotto il nome di ingegneria sociale (social engineering). Quest’ultimo aspetto potrebbe essere inteso come una specie di tecnica atta ad hackerare la mente umana. Gli autori di attacchi di ingegneria sociale impersonano individui o enti conosciuti o di cui ci si fida, come banche, colleghi o società di supporto tecnico, e poi sfruttano questa fiducia per ottenere ciò che vogliono, spesso semplicemente chiedendolo. Gli autori di attacchi informatici possono sferrare un attacco di ingegneria sociale usando vari metodi, per esempio tramite e-mail o messaggistica istantanea, ma anche per via telefonica o di persona. Usano vari trucchi per attirare l’attenzione dei loro obiettivi, per esempio, offrendo download gratuiti, annunciando che si è vinto un concorso o sostenendo che il computer dell’utente è infetto. L’obiettivo è quello di indurre a condividere informazioni riservate oppure effettuare azioni specifiche (come aprire l’allegato contenente un virus di una e-mail).
In definitiva, il fattore umano rappresenta, difatti, la maniera più incisiva nel cercare di penetrare un’organizzazione target. Come detto, l’attuale crisi sanitaria ha, infine, ancor più sollecitato tali tecniche per le peculiari condizioni lavorative in cui si sono improvvisamente trovati i dipendenti, letteralmente dall’oggi al domani, ad operare da casa. In questo modo sono divenuti più isolati rispetto al resto dell’organizzazione aziendale, hanno fatto uso di un crescente utilizzo di tecnologie con un livello di sicurezza cibernetico assai meno efficace di quelle utilizzate, di solito, sui posti di lavoro.
Secondo il 2021 Data Breach Investigations Report (DBIR) di Verizon, le minacce interne hanno causato il 28% delle violazioni mentre il 76% degli insider è stato motivato dall’allettante guadagno finanziario nell’esfiltrare i dati aziendali a cui avevano accesso. In questo senso, Edward Snowden può essere considerato un esempio paradigmatico di minaccia interna.
Alcuni esempi recenti di insider threats
Alcuni esempi recenti di insider threats sono le seguenti, con l’indicazione del settore economico in cui tali minacce si sono verificate, riprese dal sito NCSC, a seguito della pubblicazione delle linee guida:
- Trasporti/Produzione: nel marzo 2021, un cittadino russo si è dichiarato colpevole di aver offerto a un dipendente di una società di produzione di auto elettriche degli Stati Uniti 1 milione di dollari per introdurre malware nelle reti informatiche della società. Il cittadino russo aveva pianificato di utilizzare il malware per esfiltrare i dati ed estorcere successivamente un forte riscatto alla società. Il dipendente si era rivolto alla propria azienda cosicché l’FBI riusciva ad arrestare il cittadino russo.
- Energia: nel febbraio 2020, un ex scienziato di una società petrolifera statunitense è stato condannato a 24 mesi di carcere per aver rubato segreti commerciali attraverso un thumb drive dalla società. I segreti commerciali rubati riguardavano la tecnologia delle batterie di nuova generazione ed erano valutati a più di 1 miliardo di dollari. Lo scienziato aveva partecipato, in precedenza, al Piano “Mille Talenti” della Cina, e aveva pianificato di trasferirsi nel paese dell’Estremo oriente con i segreti commerciali al fine di poterli utilizzare in una società cinese dove gli era stato offerto un lavoro.
- Sanità: Nel febbraio 2021, una ex ricercatrice di un istituto medico statunitense è stata condannata a 30 mesi di carcere per aver rubato segreti commerciali e aver tentato di monetizzarli attraverso una società che aveva creato in Cina. Aveva ricevuto benefici dal governo cinese e aveva fatto domanda a diversi programmi di Talenti.
- Difesa: nel novembre 2020, un ex ingegnere di un importante appaltatore della difesa statunitense è stato condannato a 38 mesi di carcere per aver esportato illegalmente in Cina dati associati a sistemi avanzati di guida dei missili. Mentre lavorava per la società di difesa, l’ingegnere aveva trasferito i dati presenti sul suo computer alla società in Cina.
Conclusioni
I casi elencati sono solo alcuni tra quelli che è dato ritrovare sulla stampa, specializzata o meno, e molti sono avvenuti anche in ambito italiano. Essi sono stati qui citati solo per mostrare quanto possano essere comuni e che gli stessi non sempre vengono portati all’attenzione dei decisori pubblici e della stampa di opinione. Ulteriore aspetto da mettere in evidenza è che durante la crisi sanitaria tali casi possono essere aumentati a causa della maggiore esposizione a tali rischi, da parte delle imprese e delle amministrazioni pubbliche.
In questi casi, l’emergenza pandemica e il forte ricorso all’utilizzo degli strumenti di lavoro a distanza, in modalità smart working, hanno reso particolarmente critico l’utilizzo, in modalità safe, dei devices elettronici da parte dei lavoratori, generando soprattutto nei primi mesi dell’emergenza pandemica un innalzamento sostanziale degli attacchi informatici soprattutto con il ricorso all’utilizzo di ransomware e tecniche di data leak.
In conclusione, il ruolo dell’errore umano deve essere maggiormente evidenziato nei processi di risk management aziendale e prevedere delle azioni di mitigazione al fine di ridurne l’impatto in termini sia di danno economico che di danno reputazionale.
*Le opinioni degli autori non rappresentano necessariamente quelle degli Enti di appartenenza.
