Tra le informazioni pubblicate nel Data Breach Investigations Report di Verizon Business (DBIR, qui il link) ce ne sono diverse che evocano riflessioni anche in termini della cybersecurity come parte integrante della cultura del lavoro.
Il dato del DBIR che approfondiamo con maggiore enfasi è relativo alle violazioni le cui origini conducono all’interno delle organizzazioni, non per forza di cose in seguito di azioni dolose da parte dei dipendenti.
C’è quindi da chiedersi quanto sia opportuno che le aziende, in fase di reclutamento, tengano conto della cyber culture dei candidati financo al pari dei rispettivi studi ed excursus professionali.
Abbiamo approfondito l’argomento con Giorgio Casali, Associate Director – Head of Offensive Security EMEA di Verizon Business.
Indice degli argomenti
I dati salienti del report Verizon
Nel Data Breach Investigations Report, Verizon ha preso in esame più di 22mila incidenti – tra i quali 12.195 violazioni di dati confermate – per dare vita a un ritratto che lascia poco spazio a dubbi o a interpretazioni che si fermano alla buccia delle cose.
I dati che emergono a livello globale evidenziano il coinvolgimento di terze parti che, misurato in ragione del 30%, rappresenta un valore doppio rispetto all’anno precedente. Nel 34% dei casi i criminal hacker hanno sfruttato vulnerabilità, si tratta quindi di episodi riconducibili ad architetture e sistemi.
Questo, a una primissima lettura, rimanda alla necessità di applicare patch e aggiornamenti senza indugiare oltre i tempi necessari per eventuali test: come abbiamo scritto qui, l’attività di patching è complessa ed esige attenzione, ma non praticarla espone le organizzazioni a rischi difficilmente calcolabili.
Il focus sull’area Emea
Come visto sopra, le intrusioni di sistema a livello globale sono aumentate e, a trainare quest’impennata contribuisce la zona Emea, al cui interno sono raddoppiate (+53% in un anno solare).
Scendendo un po’ più in profondità, si evidenzia che il 29% delle violazioni ha avuto origine all’interno delle organizzazioni colpite. Violazioni di questo tipo sono state il 5% negli Usa e l’1% nell’area Apac (Asia Pacifica). Numeri contrapposti in modo così netto suggeriscono che la cyber posture è sempre più importante, anche se questi dati vanno sviscerati.
Una lettura più approfondita offre un altro spunto. Infatti, come spiega Giorgio Casali, Associate Director – Head of Offensive Security EMEA di Verizon Business: “Sebbene il numero più elevato di violazioni compiute da persone interne alle organizzazioni nell’area Emea appaia a prima vista sorprendente, è fondamentale sottolineare che si tratta prevalentemente di errori non intenzionali non di atti dolosi. Sorge quindi la domanda: perché ci sono molti più errori rispetto ad altre regioni? Questa differenza può essere in gran parte attribuita al contesto in cui operano le organizzazioni che hanno preso parte al report. Tra i nostri ‘collaboratori’ nell’area Emea ci sono numerosi enti governativi, che spesso hanno requisiti di rendicontazione più rigorosi rispetto ad altre regioni”.
La risposta di Giorgio Casali stempera eventuali allarmismi ed è un bene. Resta però l’esigenza di sistemi di difesa che tendano ad annichilire il rischio di errori involontari.
La formazione e l’uomo al centro
L’aspetto che emerge con maggiore vigore dal DBIR è ilcoinvolgimento dell’operatore umano nelle violazioni, con picchi di episodi nell’ingegneria sociale e nell’abuso di credenziali.
Abbiamo quindi chiesto a Giorgio Casali perché, ancora oggi, la cyber cultura non viene presa in debita considerazione dalle imprese al momento dell’assunzione, al pari del curriculum scolastico e professionale dei candidati a un impiego. “Questo punto non rientra in quelli presi in esame nel nostro report, quindi quelle che esprimo sono opinioni personali. È innegabile che la preparazione in tema cyber security sia fondamentale quando si assumono figure per questo specifico ambito. Tuttavia, renderla un prerequisito imprescindibile per tutte le posizioni potrebbe essere inappropriato. Una simile limitazione potrebbe inavvertitamente impedire l’assunzione di persone di talento con competenze e potenzialità preziose, non ancora in possesso di una conoscenza approfondita nell’ambito della cyber security, ma che potrebbero essere efficacemente formate al momento dell’ingresso in azienda.
È inoltre importante ricordare che anche i professionisti della cybersecurity possono essere vittime di sofisticati attacchi di phishing. Ciò sottolinea il ruolo essenziale della formazione continua e della promozione di una cultura della sicurezza in tutta l’organizzazione per contribuire a migliorare la consapevolezza e la resilienza generale”.
In conclusione, per capire cosa possono fare le organizzazioni per mostrarsi più resilienti alle offensive del cyber cimine, Giorgio Casali sottolinea che: “Come ho già detto, si tratta di un’opinione personale che va oltre l’ambito della nostra ricerca: credo che una formazione completa sulla sensibilizzazione in materia di cyber security sia fondamentale per contribuire a mitigare questo problema”.
