Il report

I dipendenti aziendali responsabili del 15% di data breach nel 2018: come tutelarsi dagli insider

Le violazioni di dati provenienti da soggetti interni rappresentano una parte importante dei rischi informatici che incombono sulle aziende: a rivelarlo, il Verizon Insider Threat Report. Ecco i consigli degli esperti per individuare le possibili minacce e far fronte al problema

06 Mar 2019

Le imprese non devono guardarsi solo dagli attacchi del cyber crime, ma anche dai rischi interni: il Verizon Insider Threat Report 2019 indica che sono proprio di questo tipo il 20% degli incidenti legati alla cyber security e in particolare il 15% di data breach, secondo l’analisi del Data Breach Investigations report 2018. Come serpi in seno, dunque, i dipendenti possono diventare minacce alla sicurezza informatica aziendale. Tuttavia, le imprese sembrano essere restie a riconoscere questa realtà. Per tutelarsi, è utile mettere in atto un Insider Threat Program.

“Il Verizon Insider Threat Report non mi stupisce”, dice al nostro sito Andrea Lisi, avvocato e presidente di ANORC Professioni, “ed è risaputo che accessi abusivi, violazioni nei trattamenti dei dati personali, lettura e spesso diffusione incontrollata di notizie, informazioni e dati riservati sono azioni perpetrate prima di tutto da dipendenti infedeli piuttosto che da pirati informatici. E non basta per una società sperare e affidarsi a una generica e generalizzata consapevolezza da parte dei dipendenti in merito alla astratta configurabilità di illeciti penali per questo tipo di azioni”.

“È sufficiente ricordare in proposito, ad esempio, l’art. 615 ter Codice penale (accesso abusivo ad un sistema informatico o telematico o l’art. 616 Codice penale (Violazione, sottrazione e soppressione di corrispondenza) o ancora i vari illeciti penali legati al trattamento illecito di dati personali previsti ancora oggi dal novellato D. Lgs. 196/2003 (cd. Codice privacy). Ma non basta sapere che la normativa italiana astrattamente preveda specifici illeciti per questo tipo di comportamenti illegittimi da parte dei lavoratori”.

“La verità”, continua ancora l’avvocato Lisi, “è che per proteggersi occorre applicare in modo diffuso, anche dal punto di vista lavoristico, i principi di accountability (intesa come responsabilizzazione documentata) e di privacy by design e privacy by default previsti dal Regolamento UE 679/2016 (più conosciuto come GDPR). Per farlo occorre costruire in modo trasparente (anche nei confronti dei dipendenti) modelli organizzativi che mirino a prevenire questi illeciti con azioni formative, correttive e di controllo. Occorre di fatto applicare in modo combinato diritto e informatica e agire anche in termini di formazione. Perché la consapevolezza reale di un dipendente formato è la migliore arma a disposizione di un datore di lavoro”.

Chi sono gli insider

Marco Rizzi, Information & Cyber Security Advisor di P4I ha spiegato: “L’insider, in molti casi, potrebbe essere un dipendente non valorizzato e remunerato adeguatamente, che si trova davanti l’opportunità di colmare questo malumore ai danni dell’azienda”. L’indagine di Verizon ha individuato cinque generi di personalità che possono minacciare un’azienda dall’interno:
  • il lavoratore distratto: si tratta di un dipendente o un partner che si appropria indebitamente di risorse e gestisce i dati in modo sbagliato, installano applicazioni non autorizzate e soluzioni non approvate. Le azioni di questo genere risultano inappropriate ma non malevole, spesso rientrano nel mondo dello Shadow IT;
  • l’agente infiltrato: individui interni all’azienda reclutati o corrotti da esterni per sottrarre i dati;
  • il dipendente insoddisfatto: lavoratore che cerca di danneggiare la propria organizzazione volontariamente attraverso la distruzione dei dati o l’interruzione dell’attività;
  • la risorsa interna malintenzionata: dipendente o partner con accesso a risorse aziendali, che si serve dei privilegi esistenti per accedere alle informazioni allo scopo del guadagno personale;
  • la terza parte incompetente: partner commerciale che compromette la sicurezza a causa di negligenza, uso improprio o accesso o uso improprio agli asset aziendali.

Le soluzioni per contrastare l’azione degli insider

Per Rizzi, “ci sono alcune misure con cui un’impresa può difendersi dai dipendenti infedeli, sia organizzative che tecniche. Nel primo caso, è fondamentale selezionare con attenzione la risorsa e curare il suo grado di soddisfazione all’interno dell’azienda, attraverso percorsi di crescita personale, di consapevolezza della propria figura e responsabilità. Del resto l’attenzione al personale è uno dei punti sempre presenti nelle diverse best practice di security, a partire dalla norma ISO\IEC 27001″.  Dal punto di vista tecnico invece, prosegue l’esperto, “è opportuno prestare attenzione alla gestione dei ruoli, alla loro segregazione affinché il collaboratore possa avere un raggio di azione limitato strettamente al suo ruolo. Anche in questo caso, si tratta di principi noti e ricorrenti: need-to-know e segregation-of-duties”.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Jusef Khamlichi, Information & Cyber Security Advisor di P4I, aggiunge: “Ci sono alcuni elementi vincenti che un’organizzazione dovrebbe utilizzare nel contrasto a tali vulnerabilità: in primis bisogna rendere sconveniente l’attacco. Quindi da un lato è utile adottare politiche volte all’incentivo del personale, dall’altro adottare presidi per rilevare efficacemente i comportamenti anomali”. Un altro principio degno di nota, ma spesso trascurato è, secondo l’esperto “la Segregation of Duties e conseguentemente il Four eyes principles – spiega Khamlichi. Se un dipendente per fare una frode deve coinvolgere qualcun altro, ci pensa due volte. Questo evita anche per gli errori accidentali che solitamente fanno più danni delle frodi. Inoltre, sostituire le prassi basate sulla competenza del singolo, con processi documentati e tracciati adeguatamente, è una modalità che permette di accorgersi più facilmente di eventuali anomalie sospette”.

Insider Threat Program

Verizon nel suo report individua undici punti che le aziende possono adottare per contrastare l’azione degli insider attraverso un Insider Threat Program. Per funzionare al meglio, il programma deve unire diversi settori dell’impresa tra cui IT Security, settore legale, risorse umane. Indispensabile conoscere quali sono le proprie risorse e chi vi ha accesso. Gli undici punti sono:

  1. integrare le strategie di sicurezza e le politiche aziendali: integrando le altre 10 contromisure o un Insider Threat Program completo con altre strategie già esistenti, si può rafforzare l’efficienza, la sinergia e il tempismo nell’affrontare le minacce interne;
  2. andare a caccia delle minacce: potenziare gli strumenti di rilevamento delle minacce come la threat intelligence, il monitoraggio del dark web, l’analisi comportamentale e le soluzioni EDR per individuare e tenere d’occhio le attività sospette;
  3. analizzare le vulnerabilità e condurre penetration test: utilizzare le stime sulle vulnerabilità e i penetration test per identificare le falle delle strategie di sicurezza;
  4. implementare le misure di sicurezza del personale: la messa a punto dei controlli delle risorse umane, accesso sicuro e formazione sulla sicurezza può ridurre il numero di incidenti associati all’accesso non autorizzato ai sistemi aziendali;
  5. introdurre misure di sicurezza fisica: utilizzare dispositivi fisici per l’accesso, come i badge o le barriere, oltre ai metodi utilizzati per l’accesso digitale, per monitorare accessi e attività;
  6. mettere a punto soluzioni per la sicurezza della rete: attuare misure di sicurezza perimetrale e di segmento (firewall, sistemi di rilevazione e prevenzione delle intrusioni, dispositivi gateway e soluzioni DLP) per rilevare qualsiasi attività fuori orario, volumi di attività in uscita e l’uso di connessioni remote;
  7. utilizzare soluzioni di sicurezza degli endpoint: Verizon consiglia di adottare sistemi di sicurezza degli endpoint collaudati per monitorare le attività legate agli utenti;
  8. applicare misure di sicurezza dei dati: utilizzare criteri di proprietà, classificazione e protezione dei dati, nonché misure per la cancellazione, al fine di gestirne il ciclo di vita e mantenerne la riservatezza, l’integrità e la disponibilità;
  9. misure di gestione dell’identità e degli accessi: queste misure possono essere ancora più strutturate se viene utilizzata una soluzione di Privileged Access Management (PAM);
  10. stabilire le competenze nella gestione degli incidenti: utile per rendere più efficace l’intervento in caso di problemi alla sicurezza informatica;
  11. affidarsi a risorse dedicate per le investigazioni digitali forensi: risulta utile per le aziende avere a disposizione una figura che si occupi di questo aspetto.

Tuttavia, secondo Jusef Khamlichi, sono “contromisure tecniche molto costose, ma se non ci sono i processi, le procedure, e le persone che poi le gestiscono sono tutte inutili. Cosa mi assicura un bel firewall di ultima generazione, se poi non ho un processo per mantenere aggiornate e controllate le regole e le eccezioni?”, commenta l’esperto.

Le negazione della realtà

Ma che cosa spinge maggiormente i lavoratori a compiere tali atti nocivi? Secondo il report, i fattori che più di tutti portano il dipendente a tradire la fiducia dell’azienda compiendo azioni di cyber crime sono il profitto finanziario (47,8%) e il divertimento (23,4%).

Proprio per il fatto che sono commessi da persone interne all’azienda, questi attacchi sono difficili da individuare e spesso vengono rilevati dopo mesi. Sfruttano i privilegi di accesso ai dati interni e ai sistemi. Sovente, inoltre, le aziende si mostrano restie a riconoscere o intraprendere azioni nei confronti dei dipendenti che agiscono in questo modo criminale, ritenendo implicitamente che un dipendente infedele sia una macchia alla propria reputazione come azienda.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr