La notizia, anticipata da The Verge il 27 febbraio scorso, assomiglia molto a un comunicato promozionale. Meta ha licenziato circa 20 dipendenti che avrebbero diffuso informazioni riservate al di fuori del gruppo.
Meta, la holding che fa da cappello tra le altre aziende a Facebook, a WhatsApp e a Instagram (qui l’elenco completo delle sussidiarie del gruppo) ha fatto sapere che è molto attenta alle fughe di dati e che, al momento della loro assunzione, rende edotti i dipendenti circa le conseguenze che un leak può comportare.
Come vedremo, l’attenzione che Meta dice di riservare al traffico dei dati è per lo meno opinabile, anche perché essere molto attenti – i fatti lo dimostrano – non coincide con il rendere impossibile l’esfiltrazione di dati dall’interno.
La questione sembra chiusa qui: un manipolo di dipendenti di un’azienda si comporta in modo poco ligio e viene allontanato. Invece si apre un mondo a parte nel quale Meta è da considerare correa e non solo alla luce dei tanti svarioni di cui si è resa protagonista in passato.
È davvero tanto complesso, oggigiorno, fare in modo che persone non autorizzate facciano uscire informazioni da un’azienda?
Approfondiamo l’argomento con l’ingegner Pierluigi Paganini, prendendo in considerazione anche l’ipotesi secondo cui le aziende che subiscono fughe di dati dall’interno siano corresponsabili o meno.
Indice degli argomenti
La fuga di notizie
Quando si parla di fughe interne di notizie gli aspetti interessanti sono due. Il primo, prettamente tecnologico, guarda alla possibilità che le organizzazioni impediscano di fatto che i dati e le informazioni possano uscire liberamente dalle rispettive mura.
Il secondo, più professionale, riguarda tanto le imprese quanto i lavoratori. Le aziende possono usare la leva della fuga di notizie per licenziare i dipendenti e questi ultimi dovrebbero avere un comportamento eticamente inoppugnabile.
Questione di cultura del lavoro e, nel medesimo tempo, questione di cultura della leadership. Se le imprese non fanno tutto il possibile per scongiurare il peggio, il peggio prima o poi accadrà.
E non bastano i licenziamenti per risolvere il dilemma.
Il problema dei leak interni
La fuga di dati è un tema serio e riguarda sia il settore privato sia quello pubblico, come insegna il dossieraggio che ha scosso l’Italia durante l’autunno del 2024.
Nel caso di Meta, giova ricordare che nel 2021 l’ex dipendente di Facebook Frances Haugen ha divulgato documenti sensibili portando alla luce aspetti controversi che hanno destato, tra gli altri, l’interesse del Congresso americano e del Parlamento europeo.
I due avvenimenti sono diversi tra loro: nello specifico i dipendenti sono stati allontanati per una fuga di dati, mentre Frances Haugen ha dato vita a un caso di whistleblowing, ma il punto in comune è l’impressione che l’azienda non abbia imparato dai propri errori: scricchiola la tesi sposata da Meta circa l’attenzione riposta nell’impedire la fuga di dati.
Come evitare fughe di dati dall’interno
Oggi, tra tecnologie e policy, è possibile ridurre a un lumicino le possibilità che un dipendente faccia uscire dati dalle organizzazioni.
In aggiunta, occorre una formazione puntuale dei lavoratori di ogni grado. Chi fa uscire dati non lo fa sempre in modo tendenzioso, può farlo anche per errore o per distrazione. Volontà di fare uscire dati e disattenzione sono due estremi opposti che, al di là dell’opportuna sensibilizzazione degli utenti, possono causare i medesimi mali e possono essere ridotte all’osso con i medesimi rimedi.
Le tecnologie utili sono molte, spesso da usare in sinergia tra loro. Tra le più diffuse possiamo citare:
- Data Loss Prevention (DLP), monitora e blocca la trasmissione non autorizzata di dati via email, porte USB, risorse Cloud e stampanti
- Cloud Access Security Broker (CASB), monitora le attività sul Cloud e impedisce ai dipendenti download e upload non autorizzati
- Endpoint Detection and Response (EDR), tipicamente sistemi deputati al rilevamento delle minacce e alle conseguenti risposte, sono utili proprio perché reagiscono ai tentativi di esfiltrare dati
- Digital Rights Management (DRM), protegge file e documenti anche una volta usciti dai perimetri aziendali
- Security Information and Event Management (SIEM), sistemi dediti all’analisi dei comportamenti degli utenti al fine di scovare anomalie o attività sospette
- Infrastruttura desktop virtuale (VDI), per creare compartimenti stagni che impediscono il prelievo di dati, per esempio isolando la rete oppure ricorrendo a software e policy specifici
- Zero Trust Security che parte dal presupposto secondo cui chi accede ai dati deve avere apposite autorizzazioni e che esercita un controllo stretto sull’infrastruttura IT.
Restano vivi e sono consigliati firewall e proxy con regole opportune che impediscano l’invio di file all’esterno.
La tecnologia, però, da sola non basta, come sottolinea sotto l’ingegner Paganini. “Anche se oggi esistono tecnologie avanzate e policy ben strutturate per prevenire le fughe di dati interne, queste violazioni continuano a verificarsi per motivi ben precisi. La tecnologia da sola, per quanto evoluta, non basta se non viene affiancata da un cambiamento culturale all’interno delle organizzazioni. La sicurezza è erroneamente non percepita come una responsabilità condivisa tra azienda e dipendenti.
Serve senso del dovere, consapevolezza del valore dei dati e professionalità nel gestirli, elementi che si costruiscono nel tempo con formazione continua e con la creazione di una cultura aziendale security-oriented. Molte aziende tendono a investire in strumenti, ma sottovalutano il ruolo umano e organizzativo.
Un’adeguata profilassi richiede anche investimenti in addestramento, nella definizione di policy chiare e nel controllo costante del loro rispetto. Inoltre, c’è da considerare che la minaccia interna non è solo frutto di negligenza, ma a volte anche di intenti malevoli, e solo un equilibrio tra tecnologia, monitoraggio e attenzione all’aspetto umano può ridurre realmente il rischio. Purtroppo, ancora troppe aziende non vogliono investire in modo costante su persone e processi”.
Il circolo vizioso è sempre lo stesso: aziende con visioni pastorali della cyber security (e della compliance in genere) che non riescono a diffondere l’opportuna cultura tra i lavoratori. Un male comune al quale Meta, che fa dei dati il proprio core business, stenta a trovare una cura.
Il ruolo di Meta
Gli strumenti per impedire la fuga di dati, i tool per il monitoraggio e per la verifica delle attività svolte dagli utenti esistono. Tuttavia, Meta ha un passato denso di episodi di uso per lo meno discutibile dei dati.
La memoria del fragore mediatico porta al caso Cambridge Analytica che – per quanto Facebook avesse fornito dei dati in modo lecito – si è tradotto in uno degli abusi più eclatanti. L’elenco, benché non afferente ai leak interni, è lungo. Ha quindi senso chiedersi quanto Meta sia da ritenere corresponsabile.
“Purtroppo, quando si verifica una fuga di dati dall’interno, nella quasi totalità dei casi l’azienda non può considerarsi semplicemente vittima, ma risulta corresponsabile dell’accaduto”, spiega l’ingegner Paganini.
“La normativa europea, attraverso il GDPR, chiarisce bene questo concetto: se il titolare del trattamento non ha adottato misure tecniche e organizzative adeguate a prevenire violazioni, la responsabilità ricade su di lui.
Alla base di questi incidenti possono esserci diverse cause. Spesso l’errore umano gioca un ruolo determinante: i dipendenti, a volte per distrazione, altre per comportamenti volontari, diventano l’anello debole della catena. A ciò si somma la mancanza di una formazione adeguata: senza un percorso costante di aggiornamento e sensibilizzazione, il personale non è in grado di riconoscere rischi o agire correttamente nella gestione dei dati sensibili.
Anche le policy interne hanno un peso rilevante. Regole poco chiare, non aggiornate o semplicemente ignorate, finiscono per aprire varchi alle minacce.
Infine, la tecnologia gioca un ruolo cruciale: la mancata integrazione di soluzioni di Data Loss Prevention (DLP) e di strumenti di monitoraggio dei comportamenti limita fortemente la capacità di prevenire e rilevare tempestivamente attività sospette”, conclude l’esperto.
