Le imprese non devono guardarsi solo dagli attacchi del cyber crime, ma anche dai rischi interni: il Verizon Insider Threat Report 2019 indica che sono proprio di questo tipo il 20% degli incidenti legati alla cyber security e in particolare il 15% di data breach, secondo l’analisi del Data Breach Investigations report 2018. Come serpi in seno, dunque, i dipendenti possono diventare minacce alla sicurezza informatica aziendale. Tuttavia, le imprese sembrano essere restie a riconoscere questa realtà. Per tutelarsi, è utile mettere in atto un Insider Threat Program.
“Il Verizon Insider Threat Report non mi stupisce”, dice al nostro sito Andrea Lisi, avvocato e presidente di ANORC Professioni, “ed è risaputo che accessi abusivi, violazioni nei trattamenti dei dati personali, lettura e spesso diffusione incontrollata di notizie, informazioni e dati riservati sono azioni perpetrate prima di tutto da dipendenti infedeli piuttosto che da pirati informatici. E non basta per una società sperare e affidarsi a una generica e generalizzata consapevolezza da parte dei dipendenti in merito alla astratta configurabilità di illeciti penali per questo tipo di azioni”.
“È sufficiente ricordare in proposito, ad esempio, l’art. 615 ter Codice penale (accesso abusivo ad un sistema informatico o telematico o l’art. 616 Codice penale (Violazione, sottrazione e soppressione di corrispondenza) o ancora i vari illeciti penali legati al trattamento illecito di dati personali previsti ancora oggi dal novellato D. Lgs. 196/2003 (cd. Codice privacy). Ma non basta sapere che la normativa italiana astrattamente preveda specifici illeciti per questo tipo di comportamenti illegittimi da parte dei lavoratori”.
“La verità”, continua ancora l’avvocato Lisi, “è che per proteggersi occorre applicare in modo diffuso, anche dal punto di vista lavoristico, i principi di accountability (intesa come responsabilizzazione documentata) e di privacy by design e privacy by default previsti dal Regolamento UE 679/2016 (più conosciuto come GDPR). Per farlo occorre costruire in modo trasparente (anche nei confronti dei dipendenti) modelli organizzativi che mirino a prevenire questi illeciti con azioni formative, correttive e di controllo. Occorre di fatto applicare in modo combinato diritto e informatica e agire anche in termini di formazione. Perché la consapevolezza reale di un dipendente formato è la migliore arma a disposizione di un datore di lavoro”.
Indice degli argomenti
Chi sono gli insider
- il lavoratore distratto: si tratta di un dipendente o un partner che si appropria indebitamente di risorse e gestisce i dati in modo sbagliato, installano applicazioni non autorizzate e soluzioni non approvate. Le azioni di questo genere risultano inappropriate ma non malevole, spesso rientrano nel mondo dello Shadow IT;
- l’agente infiltrato: individui interni all’azienda reclutati o corrotti da esterni per sottrarre i dati;
- il dipendente insoddisfatto: lavoratore che cerca di danneggiare la propria organizzazione volontariamente attraverso la distruzione dei dati o l’interruzione dell’attività;
- la risorsa interna malintenzionata: dipendente o partner con accesso a risorse aziendali, che si serve dei privilegi esistenti per accedere alle informazioni allo scopo del guadagno personale;
- la terza parte incompetente: partner commerciale che compromette la sicurezza a causa di negligenza, uso improprio o accesso o uso improprio agli asset aziendali.
Le soluzioni per contrastare l’azione degli insider
Per Rizzi, “ci sono alcune misure con cui un’impresa può difendersi dai dipendenti infedeli, sia organizzative che tecniche. Nel primo caso, è fondamentale selezionare con attenzione la risorsa e curare il suo grado di soddisfazione all’interno dell’azienda, attraverso percorsi di crescita personale, di consapevolezza della propria figura e responsabilità. Del resto l’attenzione al personale è uno dei punti sempre presenti nelle diverse best practice di security, a partire dalla norma ISO\IEC 27001″. Dal punto di vista tecnico invece, prosegue l’esperto, “è opportuno prestare attenzione alla gestione dei ruoli, alla loro segregazione affinché il collaboratore possa avere un raggio di azione limitato strettamente al suo ruolo. Anche in questo caso, si tratta di principi noti e ricorrenti: need-to-know e segregation-of-duties”.
Jusef Khamlichi, Information & Cyber Security Advisor di P4I, aggiunge: “Ci sono alcuni elementi vincenti che un’organizzazione dovrebbe utilizzare nel contrasto a tali vulnerabilità: in primis bisogna rendere sconveniente l’attacco. Quindi da un lato è utile adottare politiche volte all’incentivo del personale, dall’altro adottare presidi per rilevare efficacemente i comportamenti anomali”. Un altro principio degno di nota, ma spesso trascurato è, secondo l’esperto “la Segregation of Duties e conseguentemente il Four eyes principles – spiega Khamlichi. Se un dipendente per fare una frode deve coinvolgere qualcun altro, ci pensa due volte. Questo evita anche per gli errori accidentali che solitamente fanno più danni delle frodi. Inoltre, sostituire le prassi basate sulla competenza del singolo, con processi documentati e tracciati adeguatamente, è una modalità che permette di accorgersi più facilmente di eventuali anomalie sospette”.
Insider Threat Program
Verizon nel suo report individua undici punti che le aziende possono adottare per contrastare l’azione degli insider attraverso un Insider Threat Program. Per funzionare al meglio, il programma deve unire diversi settori dell’impresa tra cui IT Security, settore legale, risorse umane. Indispensabile conoscere quali sono le proprie risorse e chi vi ha accesso. Gli undici punti sono:
- integrare le strategie di sicurezza e le politiche aziendali: integrando le altre 10 contromisure o un Insider Threat Program completo con altre strategie già esistenti, si può rafforzare l’efficienza, la sinergia e il tempismo nell’affrontare le minacce interne;
- andare a caccia delle minacce: potenziare gli strumenti di rilevamento delle minacce come la threat intelligence, il monitoraggio del dark web, l’analisi comportamentale e le soluzioni EDR per individuare e tenere d’occhio le attività sospette;
- analizzare le vulnerabilità e condurre penetration test: utilizzare le stime sulle vulnerabilità e i penetration test per identificare le falle delle strategie di sicurezza;
- implementare le misure di sicurezza del personale: la messa a punto dei controlli delle risorse umane, accesso sicuro e formazione sulla sicurezza può ridurre il numero di incidenti associati all’accesso non autorizzato ai sistemi aziendali;
- introdurre misure di sicurezza fisica: utilizzare dispositivi fisici per l’accesso, come i badge o le barriere, oltre ai metodi utilizzati per l’accesso digitale, per monitorare accessi e attività;
- mettere a punto soluzioni per la sicurezza della rete: attuare misure di sicurezza perimetrale e di segmento (firewall, sistemi di rilevazione e prevenzione delle intrusioni, dispositivi gateway e soluzioni DLP) per rilevare qualsiasi attività fuori orario, volumi di attività in uscita e l’uso di connessioni remote;
- utilizzare soluzioni di sicurezza degli endpoint: Verizon consiglia di adottare sistemi di sicurezza degli endpoint collaudati per monitorare le attività legate agli utenti;
- applicare misure di sicurezza dei dati: utilizzare criteri di proprietà, classificazione e protezione dei dati, nonché misure per la cancellazione, al fine di gestirne il ciclo di vita e mantenerne la riservatezza, l’integrità e la disponibilità;
- misure di gestione dell’identità e degli accessi: queste misure possono essere ancora più strutturate se viene utilizzata una soluzione di Privileged Access Management (PAM);
- stabilire le competenze nella gestione degli incidenti: utile per rendere più efficace l’intervento in caso di problemi alla sicurezza informatica;
- affidarsi a risorse dedicate per le investigazioni digitali forensi: risulta utile per le aziende avere a disposizione una figura che si occupi di questo aspetto.
Tuttavia, secondo Jusef Khamlichi, sono “contromisure tecniche molto costose, ma se non ci sono i processi, le procedure, e le persone che poi le gestiscono sono tutte inutili. Cosa mi assicura un bel firewall di ultima generazione, se poi non ho un processo per mantenere aggiornate e controllate le regole e le eccezioni?”, commenta l’esperto.
Le negazione della realtà
Ma che cosa spinge maggiormente i lavoratori a compiere tali atti nocivi? Secondo il report, i fattori che più di tutti portano il dipendente a tradire la fiducia dell’azienda compiendo azioni di cyber crime sono il profitto finanziario (47,8%) e il divertimento (23,4%).
Proprio per il fatto che sono commessi da persone interne all’azienda, questi attacchi sono difficili da individuare e spesso vengono rilevati dopo mesi. Sfruttano i privilegi di accesso ai dati interni e ai sistemi. Sovente, inoltre, le aziende si mostrano restie a riconoscere o intraprendere azioni nei confronti dei dipendenti che agiscono in questo modo criminale, ritenendo implicitamente che un dipendente infedele sia una macchia alla propria reputazione come azienda.