Piattaforme come LinkedIn pullulano di post e articoli che invitano le aziende a considerare le capacità dei collaboratori per non cadere nella logica dell’abbandono del personale, evitando in questo modo il turnover del proprio organico.
In realtà, dal punto di vista della cyber security esiste una minaccia ancora più grave a cui ci si espone adottando questo tipo di atteggiamento ed è l’incitare passivamente le persone a vendicarsi per sfogare il proprio malessere, commettendo reati nei confronti della propria azienda.
La vendita sottobanco di informazioni e segreti industriali nel mondo occidentale è all’ordine del giorno e in molti casi sono le aziende stesse che “provocano” in modo indiretto tali comportamenti.
Introdurre la sicurezza delle informazioni in azienda: alcuni utili spunti
Indice degli argomenti
Cos’è e a quali rischi espone lo spionaggio industriale
Lo spionaggio industriale o anche aziendale consiste nel rubare informazioni sensibili di un’azienda, indipendentemente dalle sue attività o dimensioni.
Sebbene le informazioni sensibili di un’azienda possano essere commerciali o strategiche, quelle che solitamente sono oggetto di furto risultano essere quelle industriali (marchi, brevetti o processi), poiché si tratta di un bene immateriale la cui esfiltrazione potrebbe richiedere anni per essere rilevata.
Molti dipendenti hanno accesso ai dati riservati dell’azienda, dei suoi clienti e dei suoi fornitori. La maggior parte delle fughe di dati riservati non sono il prodotto di attacchi esterni ma il furto fraudolento da parte di dipendenti sleali. Sleali perché?
Bisogna innanzitutto tenere presente che in una società sempre più digitalizzata, lo spionaggio industriale è ormai all’ordine del giorno, dando vita a situazioni compromettenti per le aziende, siano esse grandi multinazionali o piccole realtà locali.
È molto importante che le aziende dispongano di misure tecniche e umane per impedire agli aggressori di ottenere informazioni privilegiate.
Molte aziende sono organizzate a “dividere” il lavoro svolto dai dipendenti, in modo che una fuga di dati sia “incompleta” e quindi inutilizzabile da parte del destinatario. Non sempre il destinatario di informazioni sottratte è chi attua il furto: di solito viene effettuata una vendita diretta o su commissione, oppure una vendita all’asta sul Dark Web.
Le conseguenze del furto completo di informazioni possono andare dalla perdita di un importante contratto alla comparsa sul mercato di un prodotto simile a quello rubato.
Esistono diversi metodi di spionaggio industriale, ma i più comuni includono l’utilizzo degli stessi dipendenti o attraverso un attacco ai sistemi informatici. In un incidente di questo tipo sono importanti sia il fattore umano che quello tecnico.
Oltre a misure di base come avere un antivirus e un firewall evoluto che riducano al minimo il rischio di un attacco, si ritiene essenziale che l’azienda disponga di un servizio di assistenza psicologica, interno o esterno, che protegga il proprio organico da minacce alla sicurezza che colpiscono l’organizzazione e gli incidenti che possono causare.
Allo stesso modo, è conveniente sottoporre l’organico a frequenti attività di rilevamento delle vulnerabilità al fine di trovare eventuali punti deboli nel perimetro aziendale.
La Threat Intelligence come sistema di monitoraggio per la difesa
È importante, inoltre, disporre di informazioni di Threat Intelligence e combinare sistemi IoC (Indicators of Compromise), che hanno il compito di diagnosticare gli attacchi informatici, con IoA (Indicators of Attack) che intervengono quando l’attacco è in atto o anche prima che raggiunga e costituisca una vera e propria minaccia. Le informazioni ottenute da questi sistemi sono essenziali per sapere in che modo i malintenzionati o i criminali informatici sia dall’interno dell’azienda che dall’esterno stanno tentando di attaccare o rubare dati sensibili.
Non è questo l’articolo per parlare delle differenze tra IoC e IoA ma in sintesi possiamo dire che gli indicatori di attacco (IoA) si concentrano sul rilevamento di ciò che un utente malintenzionato sta tentando di realizzare, indipendentemente dal malware o dall’exploit utilizzato in un attacco.
Proprio come le firme AV, un approccio di rilevamento basato su IoC non è in grado di rilevare le crescenti minacce da intrusioni prive di malware e exploit zero day.
D’altro canto, un indicatore di compromissione (IoC) è spesso descritto nel mondo forense come “prova su un computer” che indica che la sicurezza della rete è stata violata. Gli investigatori di solito raccolgono questi dati dopo essere stati informati di un incidente sospetto, su base programmata o dopo la scoperta di chiamate insolite dalla rete.
Idealmente, queste informazioni vengono raccolte per creare strumenti “più intelligenti” in grado di rilevare e mettere in quarantena i file sospetti in futuro.
A livello tecnico, per scrivere di sicurezza in generale, possiamo puntualizzare che è bene fare attenzione su:
- Criteri di accesso: è importante stabilire chi ha accesso ai dati e in che modo. Si suggerisce di implementare una politica di accesso basata su ruoli, in modo da limitare l’accesso ai dati solo a coloro che ne hanno effettivamente bisogno per svolgere il proprio lavoro.
- Monitoraggio delle attività degli utenti: l’implementazione di software di monitoraggio delle attività degli utenti può aiutare a rilevare comportamenti anomali e sospetti da parte dei collaboratori. Ciò può includere il monitoraggio dei siti web visitati, delle applicazioni utilizzate e delle attività sui social network durante l’orario di lavoro.
- Crittografia dei dati: utilizzando una tecnologia di crittografia avanzata, è possibile proteggere i dati sensibili da attacchi esterni e interni. La crittografia dei dati può impedire ai collaboratori di accedere ai dati senza le autorizzazioni necessarie.
- Limitazione dei permessi: i collaboratori dovrebbero avere accesso solo ai dati e alle informazioni pertinenti al loro lavoro. Limitare i permessi degli utenti ai dati a cui effettivamente necessitano può ridurre la possibilità che rubino materiale non autorizzato.
- Implementazione di una politica di sicurezza: l’implementazione di una politica di sicurezza aziendale formale può aiutare a proteggere i dati sensibili dell’azienda da attacchi interni ed esterni. Ciò può includere l’adozione di password robuste, la limitazione dell’accesso a determinate informazioni e la formazione del personale sulla sicurezza informatica.
Inoltre, è molto utile disporre di servizi di inganno. Queste tecnologie utilizzano trappole ed esche per ingannare i malintenzionati, offrendo così un ulteriore livello di sicurezza al sistema. Con questo approccio è possibile rilevare il tentativo di furto di proprietà industriale e respingerlo, ingannando gli aggressori.
L’utilizzo di un lavoratore dell’azienda stessa è il metodo principale per cercare di rubare informazioni. Ciò non significa necessariamente che il lavoratore abbia l’intenzione di far trapelare informazioni a scopo di lucro o vendetta, dal momento che talvolta viene ingannato o estorto da terzi per ottenere dati aziendali fondamentali.
Altro metodo è il furto perpetrato da lavoratori appartenenti ad altra azienda esterna, come ad esempio gli incaricati delle pulizie. Ancora una volta, la società esterna potrebbe non avere alcuna intenzione di commettere il furto di informazioni, ma potrebbe capitare che uno dei suoi dipendenti lo faccia per lui o per conto terzi.
Chi fa cyber spionaggio e come lo fa
In caso di furti perpetrati dai lavoratori, interni o esterni, i dispositivi che vengono solitamente utilizzati sono telecamere nascoste e/o microfoni che consentono la registrazione di informazioni.
Oggi, visti i progressi tecnologici, è possibile avere dispositivi minuscoli consentendo di nasconderli praticamente ovunque.
Altro metodo è l’oramai conosciuto metodo USB della “Rubber Ducky”, di cui ho già realizzato in passato una pubblicazione su LinkedIn, dove basta piazzare il dispositivo sul computer vittima per sottrarre dati.
Questi tipi di problemi sono sempre esistiti nelle aziende, ma con l’utilizzo di nuove tecnologie per l’elaborazione e l’archiviazione di grandi volumi di dati, l’impatto di una fuga di notizie è molto maggiore.
D’altra parte, troviamo che con l’aumento dell’utilizzo di dispositivi mobili, sia aziendali che personali, l’accedere alle risorse dell’azienda suppone un rischio aggiuntivo per la sicurezza delle proprie informazioni.
Anche in questo caso, il dipendente può essere ignaro di avere il proprio telefono cellulare compromesso.
La perdita di informazioni può verificarsi accidentalmente: perdita di un laptop, invio di informazioni per errore e via dicendo.
Ma può anche trattarsi di un incidente causato, ad esempio, dal malcontento di un dipendente che fa trapelare informazioni, o attraverso altre tecniche, come attacchi realizzati da malintenzionati attraverso il social engineering, che hanno portato al furto di informazioni per danneggiare la reputazione dell’azienda o per fini economici.
Promuovere la cultura della sicurezza in azienda: come gestire il fattore umano
Necessario sensibilizzare e formare i dipendenti
A livello umano, è importante formare e sensibilizzare continuamente l’organico sui rischi esistenti e sul modo migliore per evitarli. Ciò motiverà un cambiamento culturale che dovrebbe concentrarsi sulla protezione delle informazioni come abitudine lavorativa che significhi per tutti una tutela dell’attivo aziendale.
In generale, è importante creare un ambiente di lavoro in cui la sicurezza dei dati aziendali sia una priorità e tutti i collaboratori siano responsabili della loro protezione.
Implementare le giuste tecniche e politiche può prevenire il furto d’informazione da parte dei collaboratori.
I lavoratori sono la prima barriera difensiva che possiede un’azienda e per questo è molto importante educare la forza lavoro sul rischio di subire questo tipo di attacco in azienda sia dall’interno che dall’esterno e sull’importanza di mantenere al sicuro i dati sensibili.
Pertanto, è essenziale implementare programmi continui di formazione sulla sicurezza. Un dipendente con le giuste conoscenze sarà in grado di prevenire la fuga di informazioni sensibili verso l’esterno dell’azienda.
I criminali informatici fanno molta attenzione a coprire le loro tracce e rilevare un attacco di spionaggio industriale può essere difficile.
Per questo motivo è importante effettuare un’analisi completa ed esaustiva se si subisce un attacco di questo tipo per determinarne sia l’origine che la destinazione, le intenzioni e la proprietà industriale sottratta.